Vor ein paar Monaten stellte mir ein Kollege aus unserem Vertrieb dieselbe Frage, die ich schon Dutzende Male gehört habe: „Wenn ich die Preise eines Wettbewerbers von einer öffentlichen Website scrape, kann ich dann wirklich Ärger bekommen?“ Er hatte ein Verzeichnis mit Lieferantenkontakten gefunden, die Preise sauber in Reihen angeordnet, und wollte am Ende einfach nur eine Tabelle. Das Zögern war echt – und ehrlich gesagt nachvollziehbar.
Im Vereinigten Königreich gibt es kein einzelnes „Web-Scraping-Gesetz“. Stattdessen bestimmen vier sich überschneidende Rechtsrahmen, ob ein bestimmter Scraping-Vorgang rechtmäßig ist. Deshalb lautet die Antwort fast immer: „Es kommt darauf an“ – aber das muss nicht lähmend sein. In diesem Leitfaden gehe ich durch, was das Recht tatsächlich sagt, wie es auf reale Szenarien angewendet wird, wie die Strafen aussehen und wie Sie compliant bleiben.
Ich habe für unser Team bei viel Zeit in die Recherche gesteckt, und ich möchte teilen, was ich herausgefunden habe, damit Sie sich das nicht aus fünf verschiedenen Kanzlei-Blogs und einem Reddit-Thread zusammensuchen müssen.
Was ist Web-Scraping? Und warum nutzen britische Unternehmen es?
Web-Scraping bedeutet, mithilfe von Software automatisch Daten von Websites zu sammeln – also den mühsamen Prozess zu ersetzen, Inhalte von Webseiten per Copy-Paste in eine Tabelle zu übertragen.
Die Technik selbst ist neutral. Sie ist weder grundsätzlich legal noch grundsätzlich illegal. Entscheidend ist, was Sie scrapen, wie Sie es scrapen und was Sie anschließend mit den Daten machen.
Britische Unternehmen nutzen Scraping für viele legitime Zwecke:
- Preisvergleich: PreisSpy UK etwa mithilfe automatisierten Web-Scrapings.
- Lead-Generierung: Vertriebsteams ziehen Firmennamen, E-Mails und Telefonnummern aus öffentlichen Verzeichnissen.
- Marktforschung: Analysten beobachten Immobilienangebote, Jobbörsen oder Produktportfolios der Konkurrenz.
- Akademische Forschung: Das Office for National Statistics erfasste zwischen 2014 und 2015 über von Supermarkt-Websites.
- Training von KI-Modellen: Ein schnell wachsender – und rechtlich noch ungeklärter – Anwendungsfall.
Der Trend ist eindeutig. Eine unter 500 Entscheidungsträgern (darunter 200 im Vereinigten Königreich) ergab, dass öffentliche Webdaten als entscheidend oder sehr wichtig für die globale Wirtschaft ansehen und sie mindestens täglich beziehen.
Gleichzeitig sagten , dass das Fehlen klarer Regulierung ihre Organisation beunruhige. Genau wegen dieser Unsicherheit gibt es diesen Artikel.
Ist Web-Scraping in Großbritannien legal? Die direkte Antwort
Kein britisches Gesetz verbietet Web-Scraping pauschal. Allerdings regeln mehrere Gesetze, wie es durchgeführt werden darf, und die Rechtmäßigkeit eines konkreten Projekts hängt von vier Faktoren ab:
- Welche Daten Sie scrapen (personenbezogene Daten vs. faktische/nicht personenbezogene Daten)
- Wie Sie darauf zugreifen (öffentliche Seite vs. Umgehung von Login-Schranken oder CAPTCHAs)
- Was die Nutzungsbedingungen der Website sagen (verbieten sie automatisierten Zugriff?)
- Wie Sie die Daten danach verwenden (interne Analyse vs. kommerzieller Weiterverkauf)
Die beste Analogie, die ich gefunden habe: Web-Scraping ist wie Fotografieren im öffentlichen Raum. Ein Foto in der Öffentlichkeit zu machen ist nicht automatisch illegal – aber bestimmte Motive, Orte, Methoden und Verwendungen schaffen rechtliche Risiken. Scraping ist ähnlich. Öffentliche Verfügbarkeit ist relevant, aber sie ist nicht die ganze Geschichte.
Die jüngste GenAI-Konsultation des ICO ist eine der klarsten offiziellen britischen Aussagen zu gescrapten personenbezogenen Daten. Dort hieß es, dass berechtigte Interessen die für das Training generativer KI-Modelle mit gescrapten personenbezogenen Daten bleiben – allerdings nur, wenn der Entwickler einen strengen Dreistufentest besteht. Das ist eine hohe Hürde und zeigt, wie ernst britische Aufsichtsbehörden gescrapte Daten nehmen.
Die vier britischen Gesetze, die auf Web-Scraping anwendbar sind
Vier überlappende Perspektiven – jedes Scraping-Projekt kann eine, zwei oder alle vier auslösen.
UK GDPR und der Data Protection Act 2018
Wenn Sie personenbezogene Daten scrapen – Namen, E-Mails, Telefonnummern, IP-Adressen, Social-Media-Profile –, gilt die UK GDPR. „Öffentlich zugänglich“ heißt nicht „frei verwendbar“.
Öffentlich sichtbare personenbezogene Daten sind immer noch personenbezogene Daten.
Die relevanteste rechtmäßige Grundlage für kommerzielles Scraping ist berechtigtes Interesse (Artikel 6) – aber man kann sich nicht einfach auf diesen Begriff berufen. Sie müssen:
- einen konkreten, legitimen Zweck benennen
- zeigen, dass die Verarbeitung für diesen Zweck erforderlich ist
- Ihr Interesse gegen die Rechte der Personen abwägen, deren Daten Sie erfassen
Die Antwort des ICO auf die GenAI-Konsultation ist besonders deutlich: Entwickler sollten nicht annehmen, dass ein allgemeiner gesellschaftlicher Nutzen ausreicht, sie sollten belegen, warum Alternativen zum Scraping ungeeignet sind, und Transparenzmechanismen einsetzen, die es Betroffenen ermöglichen, ihre Rechte zu verstehen und auszuüben. Quelle: .
Für B2B-Lead-Generierung gilt dieselbe Logik. Ein Vertriebsteam kann sich beim Erfassen öffentlich gelisteter Geschäftskontaktdaten auf berechtigte Interessen stützen, muss aber dennoch das berechtigte Interesse dokumentieren, nur die nötigsten Felder erfassen, besondere Kategorien personenbezogener Daten vermeiden, nach Möglichkeit Datenschutzinformationen bereitstellen und Widersprüche respektieren.
Urheberrecht, Datenbankrechte und die TDM-Ausnahme
Urheberrecht schützt originelle Website-Inhalte: Texte, Bilder, Produktbeschreibungen, Artikel. Faktische Datenpunkte wie Preise sind für sich genommen meist weniger urheberrechtlich sensibel – aber wenn Sie geschützte Ausdrucksformen kopieren und erneut veröffentlichen, bewegen Sie sich im Verletzungsbereich.
Datenbankrechte sind beim Scraping wichtiger, als viele denken. Das Vereinigte Königreich hat nach dem Brexit die sui-generis-Datenbankrechte im EU-Stil beibehalten, und das Entnehmen eines „wesentlichen Teils“ aus einer geschützten Datenbank – kuratierte Verzeichnisse, Produktkataloge, Marktplatz-Listings – kann eine Verletzung darstellen, selbst wenn einzelne Datenpunkte nur faktisch sind.
Die Ausnahme für Text- und Data-Mining (TDM) nach erlaubt Kopien für Text- und Datenanalyse nur dann, wenn der Nutzer rechtmäßigen Zugang hat und der Zweck nicht-kommerzielle Forschung ist. Das ist eng gefasst. Kommerzielles Scraping, kommerzielles KI-Training und der kommerzielle Weiterverkauf von Datensätzen sind nicht abgedeckt.
Die britische Regierung erwog, diese Ausnahme für KI-Training auszuweiten, entschied aber mit Stand ihres , keine Reformen einzuführen, bis sicher ist, dass sie die Ziele für Urheber, KI-Entwickler und die britische Wirtschaft erfüllen. Nach dem Status quo ist für das Kopieren geschützter Werke zum KI-Training in der Regel eine Erlaubnis nötig, sofern keine bestehende Ausnahme greift.
Nutzungsbedingungen der Website und Vertragsrecht
Die meisten Websites haben Nutzungsbedingungen (Terms of Service, ToS), die automatisiertes Scraping verbieten oder einschränken. Wenn Sie die Website aufrufen, kann es sein, dass Sie diesen Bedingungen bereits zustimmen – vor allem, wenn Sie eine Zustimmungsmaske anklicken (Clickwrap). Browsewrap-Vereinbarungen (Bedingungen hinter einem Footer-Link) sind stärker vom Einzelfall abhängig, aber britische Gerichte haben gezeigt, dass sie ToS-Beschränkungen gegen Scraping durchsetzen können. Im Streitfall wertete das Gericht sichtbare Website-Bedingungen im Kontext von Screen Scraping als verbindlich.
robots.txt ist kein Gesetz. Es ist ein maschinenlesbares Signal des Website-Betreibers. Eine typische Datei sieht so aus:
1User-agent: *
2Disallow: /account/
3Disallow: /checkout/
4Disallow: /private/
5Crawl-delay: 10Das Ignorieren von robots.txt macht Scraping nicht automatisch illegal, wird aber von Gerichten und dem ICO als Hinweis auf die Absicht des Website-Betreibers gewertet. Wer robots.txt ignoriert, erhöht sein rechtliches Risiko – besonders zusammen mit einem ToS-Verstoß oder aggressiven Request-Mengen.
Der Computer Misuse Act 1990
Dieser Punkt raubt vielen den Schlaf – und das aus gutem Grund. Er schafft strafrechtliche Offenses. Section 1 betrifft unbefugten Zugriff auf Computermaterial (Höchststrafe: ). Section 3 betrifft unbefugte Handlungen, die den Betrieb eines Computers beeinträchtigen (Höchststrafe: ).
Das CMA-Risiko ist am niedrigsten, wenn die Daten wirklich öffentlich sind und der Scraper keine technischen Barrieren umgeht. Es steigt, wenn Sie:
- Login-Schranken, CAPTCHAs oder IP-Sperren umgehen
- gestohlene Zugangsdaten nutzen oder Fake-Accounts erstellen
- Verkehrsvolumen erzeugen, das den Zielservice beeinträchtigt
Das Vereinigte Königreich hat keine klare, US-artige Regel nach dem Motto „öffentliche Daten sind Freiwild“. Das macht britische Empfehlungen vorsichtiger: Öffentlicher Zugang senkt das CMA-Risiko deutlich, aber Website-Bedingungen, technische Kontrollen und das Wissen des Scrapers um Beschränkungen können weiterhin eine Rolle spielen.
„Darf ich das legal scrapen?“ – Ein kurzer Entscheidungs-Flowchart
Bevor Sie irgendetwas scrapen, gehen Sie diese fünf Entscheidungspunkte durch. Keine Rechtsberatung – nur ein 60-Sekunden-Risikoscreening.
| Entscheidungspunkt | Wenn JA | Wenn NEIN |
|---|---|---|
| Sind die Daten personenbezogene Daten (Namen, E-Mails usw.)? | UK GDPR gilt. Rechtsgrundlage bestimmen, LIA durchführen, Felder minimieren, Transparenz planen. | Die DSGVO-Ebene greift möglicherweise nicht, aber andere Prüfungen fortsetzen. |
| Verbieten die ToS der Website Scraping ausdrücklich? | Vertragsverletzungsrisiko. API, Lizenz oder juristische Prüfung erwägen. | Geringeres Vertragsrisiko, aber robots.txt prüfen. |
| Wird ein wesentlicher Teil einer Datenbank extrahiert? | Sui-generis-Datenbankrecht wahrscheinlich verletzt. Lizenzierung oder engeres Extrahieren erwägen. | Urheberrecht kann dennoch für einzelne kopierte Inhalte gelten. |
| Werden Login, CAPTCHA oder Zugriffskontrollen umgangen? | Mögliche Straftat nach CMA 1990. Stoppen und rechtlich prüfen lassen. | Geringeres CMA-Risiko, wenn der Zugriff tatsächlich öffentlich ist. |
| Ist der Zweck nicht-kommerzielle Forschung? | Section-29A-TDM-Ausnahme kann greifen, wenn Sie rechtmäßigen Zugang haben. | Kein breiter britischer Safe Harbour für kommerzielles TDM. Vollständige IP- und Vertragsprüfung nötig. |
Uff, ich wünschte, jemand hätte mir das gegeben, als ich für unser Team zum ersten Mal mit der Recherche zu Scraping-Compliance begonnen habe. Es macht aus juristischer Komplexität eine strukturierte Selbstprüfung, die Sie in unter einer Minute durchführen können.
Reale Szenarien: Ist Ihr konkretes Scraping in Großbritannien legal?
Abstraktes Recht ist das eine. Was Leute wirklich wissen wollen: „Wird mein konkretes Projekt mir Ärger machen?“
Fair enough. Hier sind fünf typische britische Scraping-Anwendungsfälle mit einer kurzen rechtlichen Risikobewertung.
Produktpreise für Vergleiche scrapen
Einer der häufigsten – und oft am wenigsten riskanten – geschäftlichen Anwendungsfälle. Preise sind faktische Daten, und die automatisierte Preiserfassung ist genau die Art von Nutzung, auf der Seiten wie PreisSpy beruhen.
Ganz verschwinden die Risiken aber nicht. Wenn die Zielwebsite Scraping in ihren ToS verbietet, wenn Sie Produktbeschreibungen oder Bilder kopieren oder wenn Sie einen wesentlichen Teil einer kuratierten Produktdatenbank extrahieren, können Vertrags-, Urheberrechts- und Datenbankrechtsprobleme entstehen.
Risikolevel: NIEDRIG bis MITTEL
Wichtiger Compliance-Schritt: Nur faktische Preisfelder erfassen, keine Produktbeschreibungen wortgetreu kopieren, ToS und robots.txt respektieren, Rate Limiting einsetzen und keinen Roh-Mirror des Wettbewerberkatalogs erneut veröffentlichen.
Daten kommerziell scrapen und weiterverkaufen
Das kommerziell riskanteste Szenario, Punkt. Sie verwandeln die Dateninvestition einer anderen Partei in ein verkäufliches Produkt – und das kann alle vier rechtlichen Säulen gleichzeitig betreffen.
Risikolevel: HOCH
Wichtiger Compliance-Schritt: Eine juristische Prüfung ist unverzichtbar. Lizenzvereinbarungen mit den Dateninhabern erwägen. Wenn das Produkt personenbezogene Daten enthält, zusätzlich eine Datenschutz-Folgenabschätzung durchführen.
Geschäftskontaktdaten für Lead-Generierung extrahieren
Jedes Vertriebsteam, mit dem ich gesprochen habe, macht irgendeine Variante davon: E-Mails, Telefonnummern und Firmennamen aus Verzeichnissen scrapen. Der Haken? Geschäftskontaktdaten enthalten oft personenbezogene Daten. Eine namentlich genannte Mitarbeiter-E-Mail ist personenbezogen, auch wenn sie öffentlich gelistet ist.
Risikolevel: MITTEL
Wichtiger Compliance-Schritt: Eine Legitimate Interests Assessment durchführen, nach Möglichkeit nur geschäftliche (nicht private) Kontaktdaten erfassen, die Rechtsgrundlage dokumentieren und einen Opt-out-Weg anbieten. Tools wie können hier das Zugriffsrisiko senken, weil die im Browser des Nutzers arbeitet – sie greift nur auf das zu, was der Nutzer ohnehin sehen kann, ohne Zugriffskontrollen zu umgehen.
Akademische oder portfoliobezogene Datenanalyse
Wenn Sie tatsächlich nicht-kommerzielle Forschung betreiben, haben Sie den stärksten Urheberrechts-Ausnahmepfad: Section 29A CDPA, sofern Sie rechtmäßigen Zugang haben.
Risikolevel: NIEDRIG (wenn wirklich nicht-kommerziell)
Wichtiger Compliance-Schritt: Nicht-kommerziellen Zweck dokumentieren, Quellen angeben, nach Möglichkeit anonymisieren oder aggregieren und keine urheberrechtlich geschützten Inhalte oder personenbezogenen Daten erneut verbreiten.
Inhalte zum Training von KI-Modellen scrapen
Das ist der Fall, nach dem 2026 alle fragen – und die Antwort ist immer noch unbefriedigend. Das ICO behandelt gescrapte personenbezogene Daten zum Training als hochriskante, nicht sichtbare Verarbeitung. Der britische Bericht von 2026 führte keine breite kommerzielle TDM-Ausnahme ein.
Risikolevel: MITTEL bis HOCH
Wichtiger Compliance-Schritt: Lizenzierung, Herkunft des Datensatzes, Urheberrechtsprüfung, Filterung personenbezogener Daten, Dokumentation der Rechtsgrundlage und enges Monitoring der britischen Politikentwicklung.
Szenario-Übersichtstabelle
| Szenario | Ausgelöste zentrale Gesetze | Risikolevel | Wichtiger Compliance-Schritt |
|---|---|---|---|
| Produktpreis-Monitoring | ToS, Datenbankrechte, Urheberrecht | Niedrig–Mittel | Faktische Felder erfassen, Website-Signale respektieren |
| Kommerzieller Datenweiterverkauf | Alle vier Säulen | Hoch | Juristische Prüfung und Lizenzierung unerlässlich |
| B2B-Lead-Generierung | UK GDPR, ToS | Mittel | LIA durchführen, personenbezogene Daten minimieren |
| Akademische Forschung | Urheberrecht (TDM-Ausnahme), DSGVO bei personenbezogenen Daten | Niedrig | Zweck nicht-kommerziell halten, nicht erneut veröffentlichen |
| Training von KI-Modellen | UK GDPR, Urheberrecht, Datenbankrechte | Mittel–Hoch | Daten lizenzieren, Rechtsgrundlage dokumentieren, Politik beobachten |
Großbritannien vs. USA vs. EU: Wie sich das Web-Scraping-Recht unterscheidet
Wenn Sie nur im Vereinigten Königreich tätig sind, können Sie diesen Abschnitt überspringen. Aber die meisten Unternehmen, mit denen ich spreche, scrapen international – oder zumindest Websites, die in anderen Rechtsordnungen gehostet werden. Die Unterschiede sind wichtiger, als man denkt.
| Rechtsdimension | 🇬🇧 UK | 🇺🇸 USA | 🇪🇺 EU |
|---|---|---|---|
| Zentrales Datenschutzrecht | UK GDPR + DPA 2018 | Kein bundesweites Äquivalent (Landesgesetze variieren) | EU-GDPR |
| Wichtigster Präzedenzfall zum Scraping | Clearview AI (ICO-Strafe von 7,5 Mio. £) | hiQ gegen LinkedIn (Scraping öffentlicher Daten erlaubt, Ninth Circuit – aber hiQ wurde dauerhaft untersagt und zahlte 500.000 $ im endgültigen Zustimmungsurteil) | Ryanair gegen PR Aviation (EuGH, C-30/14, Datenbankrechte) |
| Recht für Computerzugriffe | Computer Misuse Act 1990 | CFAA (durch Van Buren, 2021, enger gefasst) | Je nach Mitgliedstaat unterschiedlich |
| Urheberrecht / TDM-Ausnahme | Eng: nur nicht-kommerzielle Forschung (Section 29A) | Fair-Use-Doktrin (breiter, einzelfallbezogen) | DSM-Richtlinie Art. 3 & 4 (breitere TDM-Rechte mit Rechtsvorbehalt) |
| Datenbankrechte | Ja (aus der EU-Datenbankrichtlinie übernommen) | Kein entsprechendes Bundesrecht | Sui-generis-Recht nach der Datenbankrichtlinie |
| Durchsetzbarkeit von ToS | Vertragsrecht gilt; Browsewrap umstritten | Gemischt: Browsewrap oft nicht durchsetzbar | Variiert; Ryanair stärkte die ToS-Position |
Die praktische Quintessenz: Wenn Sie über Rechtsordnungen hinweg scrapen, halten Sie sich an das strengste anwendbare Recht. Die USA sind beim Zugriff auf öffentliche Daten unter hiQ permissiver, aber hiQ ist keine pauschale Freikarte – hiQ durfte letztlich nicht mehr bei LinkedIn scrapen und zahlte 500.000 $. Die EU hat über die DSM-Richtlinie eine breitere TDM-Architektur. Das Vereinigte Königreich liegt dazwischen – keine breite kommerzielle TDM-Ausnahme, starke Datenbankrechte und eine aktive Aufsichtsbehörde.
Strafen und Durchsetzung: Was passiert tatsächlich, wenn Sie erwischt werden?
Vage Warnungen vor „Geldstrafen“ und „rechtlichem Ärger“ helfen niemandem. Hier sind die echten Zahlen.
Bußgelder nach UK GDPR
Maximale Strafe: , je nachdem, was höher ist.
Reales Beispiel: Clearview AI wurde 2022 vom ICO mit belegt, weil Gesichtsbilder aus britischen sozialen Medien gescraped wurden. Das First-tier Tribunal hob die Entscheidung aus Zuständigkeitsgründen auf, aber das , dass die Berufung des ICO zulässig sei, und verwies den Fall zurück. Das ICO teilte mit, dass Clearview bis Dezember 2025 .
Strafrechtliche Sanktionen nach dem Computer Misuse Act
- Section 1 (unbefugter Zugriff): bis zu
- Section 3 (unbefugte Beeinträchtigung): bis zu
Strafverfolgung wegen normalem Scraping öffentlicher Seiten ist extrem selten.
Das Risikoprofil ändert sich drastisch, wenn das Verhalten wie Hacking, Missbrauch von Zugangsdaten, CAPTCHA-Umgehung oder eine Beeinträchtigung des Dienstes aussieht.
Urheberrecht und Datenbankrechte
Zivilrechtlicher Schadensersatz plus Unterlassungsanspruch. Strafrechtliche Sanktionen sind bei vorsätzlicher kommerzieller Verletzung möglich, die meisten Scraping-Streitigkeiten laufen jedoch als Zivilklagen.
Vertragsverletzung (ToS)
Zivilrechtlicher Schadensersatz, Kontosperrung, IP-Blocking. Das ist in der Praxis meist die häufigste Durchsetzungsmaßnahme – und oft das Erste, was passiert.
Zusammenfassung der Strafschwere
| Rechtsrahmen | Maximale Strafe | Wahrscheinlichkeit bei typischem Business-Scraping | Praxisbeispiel |
|---|---|---|---|
| UK GDPR | 17,5 Mio. £ oder 4 % des weltweiten Umsatzes | Mittel bei personenbezogenen Daten in großem Umfang; niedrig bei nicht personenbezogenen Daten | Clearview-AI-Strafe über 7,5 Mio. £ |
| CMA Section 1 | 2 Jahre Freiheitsstrafe | Niedrig bei öffentlichen Seiten; höher bei Umgehung von Kontrollen | CPS-Leitlinien zu unbefugtem Zugriff |
| CMA Section 3 | 10 Jahre Freiheitsstrafe | Niedrig, außer wenn der Verkehr Systeme beeinträchtigt | DDoS-ähnliche Beeinträchtigungsfälle |
| Urheberrecht/Datenbankrechte | Schadensersatz und Unterlassung | Mittel bei geschützten Inhalten oder kuratierten Datenbanken | Ryanair und die BHB-Falllinie |
| ToS-Verstoß | Schadensersatz, Kontosperrung, Blockierung | Hoch als praktische Durchsetzungsroute | Ryanair-Screen-Scraping-Streitigkeiten |
Wie das richtige Scraping-Tool Ihr rechtliches Risiko senkt
Das von Ihnen gewählte Tool macht ein rechtswidriges Scraping nicht legal. Aber es kann vermeidbare Risiken ausschalten.
Aus meiner Erfahrung ist der Unterschied zwischen einem Tool, das Website-Signale respektiert, und einem, das alles aggressiv umgeht, oft der Unterschied zwischen einem normalen Datenprojekt und einem rechtlichen Problem.
Respektiert robots.txt und Website-Signale
Ein verantwortungsvolles Tool sollte es einfach machen, vor dem Scraping robots.txt zu prüfen und zu respektieren. Auch wenn das nicht rechtlich bindend ist, wird die Einhaltung von robots.txt von Gerichten und dem ICO als Beleg für guten Glauben gewertet. Die von Thunderbit rät Nutzern, öffentlich verfügbare Daten zu scrapen und robots.txt sowie die Nutzungsbedingungen zu beachten.
Browser-Scraping vs. Cloud-Scraping
Dieser Unterschied ist rechtlich wichtig. Browser-Scraping greift nur auf das zu, was der Nutzer in seiner authentifizierten Sitzung sehen kann – also im Grunde die Automatisierung dessen, was man manuell tun würde. Cloud-Scraping sendet Anfragen von Servern aus; das ist bei öffentlichen Seiten schneller, kann aus Sicht der Website aber eher wie „automatisierter Zugriff“ wirken.
bietet beide Modi. Browser-Scraping eignet sich für Seiten mit Login-Pflicht und senkt damit das Risiko von „unbefugtem Zugriff“ nach dem CMA, während Cloud-Scraping gut für öffentlich verfügbare E-Commerce-Seiten ist, bei denen Geschwindigkeit zählt. Dieser doppelte Ansatz erlaubt es Nutzern, ihre Scraping-Methode an das rechtliche Risikoprofil der jeweiligen Seite anzupassen.
Keine Umgehung von Zugriffskontrollen
Ein Tool, das im Browser arbeitet und weder CAPTCHAs knackt noch Login-Schranken umgeht, ist nach dem Computer Misuse Act von Natur aus risikoärmer. Die Chrome-Erweiterung von Thunderbit läuft innerhalb der Browsersitzung des Nutzers – sie greift nur auf das zu, was der Nutzer ohnehin sehen kann.
Transparenter Datenexport (unterstützt DSGVO-Compliance)
Thunderbit exportiert direkt nach Excel, Google Sheets, Airtable oder Notion. Der Nutzer kontrolliert, wohin die Daten gehen. Das unterstützt Transparenz und Dokumentation der Rechtsgrundlage nach DSGVO: Sie wissen genau, welche Daten Sie erfasst haben und wohin sie gegangen sind. Keine versteckte Verarbeitung oder Aufbewahrung durch das Tool.
Rate Limiting und verantwortungsvoller Zugriff
Aggressive Request-Mengen können CMA Section 3 (unbefugte Beeinträchtigung) auslösen. Rate Limiting ist nicht nur eine technische Best Practice – es ist auch eine rechtliche Schutzmaßnahme. Verantwortungsvolle Tools überlasten Server nicht, was sowohl das rechtliche Risiko als auch die Wahrscheinlichkeit einer IP-Sperre senkt.
Eine praktische Compliance-Checkliste für Web-Scraping in Großbritannien
Gehen Sie diese Punkte durch, bevor Sie irgendetwas scrapen:
- Lesen Sie die Nutzungsbedingungen und die Acceptable-Use-Policy der Zielwebsite.
- Prüfen Sie die robots.txt-Datei und dokumentieren Sie, ob relevante Pfade ausgeschlossen sind.
- Stellen Sie fest, ob es sich um personenbezogene Daten handelt. Wenn ja, bestimmen Sie Ihre rechtmäßige Grundlage nach UK GDPR.
- Bewerten Sie, ob Sie einen „wesentlichen Teil“ einer Datenbank extrahieren.
- Stellen Sie sicher, dass Sie keine technischen Zugriffskontrollen umgehen (CAPTCHAs, Logins, Rate Limits).
- Wenn Ihr Zweck nicht-kommerzielle Forschung ist, dokumentieren Sie das, um von der TDM-Ausnahme zu profitieren.
- Nutzen Sie Rate Limiting. Überlasten Sie den Zielserver nicht.
- Dokumentieren Sie alles: Ihre Rechtsgrundlage, die ToS-Prüfung, die erfassten Datenfelder, Exportziele und die Aufbewahrungsfrist.
- Wenn Sie unsicher sind, holen Sie Rechtsrat ein bei einer Kanzlei, die auf Datenschutz und IP spezialisiert ist.
Diese Checkliste ersetzt kein anwaltliches Gutachten – aber sie gibt Ihnen eine solide Ausgangsstruktur und zeigt guten Glauben, falls später Fragen aufkommen.
Wichtigste Erkenntnisse
- Web-Scraping ist in Großbritannien nicht illegal – aber es wird durch vier sich überschneidende Rechtsrahmen reguliert: UK GDPR, Urheber- und Datenbankrechte, Vertragsrecht und den Computer Misuse Act.
- Ob ein Scrape legal ist, hängt davon ab, was Sie scrapen, wie Sie darauf zugreifen, was die Website-Bedingungen sagen und was Sie mit den Daten tun.
- Das Scraping personenbezogener Daten bringt die höchste Compliance-Last mit sich. Berechtigte Interessen ist meist die einzige praktikable Rechtsgrundlage und erfordert eine dokumentierte Abwägung.
- Das Vereinigte Königreich kennt keine breite kommerzielle TDM-Ausnahme. Kommerzielles KI-Training und der Weiterverkauf von Datensätzen sind ohne Lizenzierung riskant.
- Nutzen Sie den Entscheidungs-Flowchart und die Szenariotabelle oben, um Ihre konkrete Situation vor dem Start zu bewerten.
- Wählen Sie Tools, die zu Compliance-Best-Practices passen: browserbasierter Zugriff, keine CAPTCHA-Umgehung, transparenter Datenexport und Rate Limiting. ist genau mit diesen Prinzipien entwickelt worden – aber die Compliance-Verantwortung liegt immer beim Nutzer.
- Wenn Sie Zweifel haben, dokumentieren Sie Ihre Begründung und sprechen Sie mit einem Anwalt. Die Kosten für eine rechtliche Einschätzung sind fast immer geringer als die Kosten einer ICO-Untersuchung.
FAQs
Ist das Scrapen öffentlich verfügbarer Daten in Großbritannien legal?
Im Allgemeinen ja – öffentlich zugängliche Daten zu scrapen ist risikoärmer als geschützte oder private Daten zu scrapen. Aber „öffentlich verfügbar“ bedeutet nicht „frei nutzbar, wie Sie wollen“. Die UK GDPR kann weiterhin für öffentliche personenbezogene Daten gelten, Urheberrecht kann geschützte Ausdrucksformen erfassen, Datenbankrechte können kuratierte Sammlungen schützen und ToS können automatisierten Zugriff einschränken.
Kann ich E-Mails und Telefonnummern von britischen Websites scrapen?
Wenn die Daten personenbezogene Daten sind – was E-Mails und Telefonnummern in der Regel sind –, brauchen Sie eine rechtmäßige Grundlage nach UK GDPR. Berechtigte Interessen ist die häufigste Grundlage für B2B-Lead-Generierung, aber Sie müssen eine Abwägung durchführen, nur die nötigsten Daten erheben und einen Opt-out-Weg anbieten. Das Scrapen privater Kontaktdaten (Handynummern, private E-Mails) ist deutlich riskanter als Einträge aus Geschäftsdirektorien.
Was ist nach britischem Recht der Unterschied zwischen Web-Scraping und Web-Crawling?
Rechtlich gibt es keinen wirklich relevanten Unterschied – das Gesetz achtet auf das Verhalten, nicht auf das Etikett. Crawling bedeutet meist, Seiten zu entdecken oder zu indizieren; Scraping bedeutet meist, strukturierte Daten zu extrahieren. Beides umfasst automatisierten Zugriff auf Websites und unterliegt denselben Rechtsrahmen.
Macht robots.txt Scraping illegal?
Nein. robots.txt ist rechtlich nicht bindend. Das Ignorieren erhöht jedoch Ihr rechtliches Risiko, weil Gerichte und das ICO es als Beleg für die Absicht des Website-Betreibers werten. Wenn Sie robots.txt ignorieren und die ToS der Seite Scraping ebenfalls verbieten, häufen Sie Risikofaktoren an – und das ist deutlich schwerer zu verteidigen.
Kann ich in Großbritannien wegen Web-Scrapings strafrechtlich verfolgt werden?
Nur wenn Sie Zugriffskontrollen umgehen (CAPTCHAs, Logins, IP-Sperren) oder unter einen Computersystem-Schaden verursachen. Normales Scraping tatsächlich öffentlicher Daten in angemessenem Umfang, ohne technische Umgehung, führt extrem unwahrscheinlich zu einer Strafanzeige. Das Risikoprofil ändert sich drastisch, wenn das Verhalten wie Hacking oder eine absichtliche Dienstbeeinträchtigung wirkt.
Mehr erfahren