Das Wichtigste in Kürze
- Web Scraping für KI birgt rechtliche Risiken bezüglich Urheberrecht, Datenbankrecht und DSGVO in der EU.
- Die Text- und Data-Mining-Schranke (§ 44b UrhG) erlaubt Scraping unter Vorbehalt; Website-Betreiber können dies per Opt-out (z.B. via robots.txt) untersagen.
- Das Leistungsschutzrecht für Datenbankhersteller (§ 87b UrhG) schützt auch nicht urheberrechtlich geschützte Daten bei wesentlicher Entnahme.
- Die Verarbeitung personenbezogener Daten erfordert eine Rechtsgrundlage nach DSGVO und birgt hohe Informationspflichten, die bei Massenscraping schwer umzusetzen sind.
- Rechtssicherheit beim Web Scraping wird durch die Prüfung von Opt-outs, Nutzung lizenzierter Daten und Anonymisierung personenbezogener Daten erreicht.
Web Scraping für KI und SaaS: Rechtliche Risiken und Compliance in der EU
Die Datenbeschaffung bildet das Fundament moderner SaaS-Lösungen und KI-Modelle. Ohne Daten kann kein effektives Training stattfinden, und ohne Training gibt es keine leistungsfähige Künstliche Intelligenz. Aus diesem Grund nutzen Startups und Entwickler häufig Web Scraping. Dabei handelt es sich um das automatisierte Auslesen von Inhalten frei zugänglicher Websites. Die rechtliche Situation in der Europäischen Union ist jedoch vielschichtig. Sie birgt erhebliche Risiken, insbesondere wenn Urheberrechte, Datenbankrechte oder die Datenschutz-Grundverordnung (DSGVO) betroffen sind.
Ein aktuelles Urteil des Landgerichts Hamburg (LAION vs. Kneschke), das oft im Kontext der GEMA diskutiert wird, verdeutlicht den dynamischen Wandel der rechtlichen Rahmenbedingungen. Diese Entwicklungen werfen die zentrale Frage auf: Was ist beim Web Scraping überhaupt noch legal?
Rechtliche Einordnung des KI-Trainings
Um die juristischen Grenzen zu verstehen, ist ein Blick auf die technische Funktionsweise des KI-Trainings unerlässlich. Wenn ein Modell, beispielsweise ein Large Language Model (LLM) oder ein Bildgenerator, trainiert wird, speichert die KI die Trainingsdaten nicht als exakte Kopien in einer durchsuchbaren Datenbank. Stattdessen analysiert der Algorithmus Muster, Wahrscheinlichkeiten und Zusammenhänge zwischen Datenpunkten, wie Wörtern oder Pixeln. Dies geschieht durch die Anpassung von Gewichtungen und Parametern.
Für diesen Lernprozess ist jedoch ein entscheidender Zwischenschritt notwendig. Die Daten müssen zunächst physisch gecrawlt, heruntergeladen und temporär auf Servern abgelegt werden. Genau diese temporäre Vervielfältigung stellt den kritischen Punkt dar, an dem das Urheberrecht ansetzt.

Web Scraping und das Urheberrecht
Das deutsche und europäische Urheberrecht schützt geistige Werke wie Texte, Bilder und Code. Werden diese im Zuge des Web Scrapings kopiert, handelt es sich grundsätzlich um eine Vervielfältigungshandlung. Diese ist nur dann zulässig, wenn eine gesetzliche Schrankenbestimmung, also eine Erlaubnisnorm, eingreift.
Für Startups und KI-Entwickler ist in diesem Kontext die Ausnahmeregelung für Text- und Data-Mining (TDM) nach § 44b UrhG besonders relevant. Diese Vorschrift gestattet die automatisierte Analyse von Texten und Daten zur Auswertung von Informationen.
Es gibt jedoch eine wichtige Einschränkung: Der Urheber kann sich den Vorbehalt der Nutzung für Text- und Data-Mining einräumen. Dies bedeutet, dass Website-Betreiber das Scraping ihrer Inhalte explizit untersagen können (Opt-out). Ein solcher Vorbehalt muss maschinenlesbar kommuniziert werden.
Wirksamkeit von Scraping-Verboten: robots.txt und AGB
Ein wirksames Opt-out muss für Crawler automatisiert erkennbar sein. In der Praxis geschieht dies meist über die robots.txt-Datei einer Website. Wird dort der Zugriff für spezifische KI-Crawler (wie den GPTBot von OpenAI) oder für alle Scraper untersagt, greift die TDM-Schranke nicht mehr. Wer diese Verbote ignoriert und dennoch Daten abgreift, begeht eine Urheberrechtsverletzung.
Scraping-Verbote finden sich häufig auch in den Allgemeinen Geschäftsbedingungen (AGB) oder Nutzungsbedingungen einer Website. Die rechtliche Wirksamkeit solcher AGB-Klauseln gegenüber Dritten, die keinen direkten Vertrag mit dem Website-Betreiber geschlossen haben (z.B. einem Crawler ohne Login), ist allerdings umstritten. Dennoch kann ein solches Verbot in Kombination mit technischen Maßnahmen den Opt-out-Vorbehalt zusätzlich untermauern.
Das Leistungsschutzrecht für Datenbankhersteller
Selbst wenn einzelne gescrapte Datenfragmente, wie einfache Adressen oder Preise, keinen eigenen Urheberrechtsschutz genießen, kann das Scraping illegal sein. Hier greift das Leistungsschutzrecht für Datenbankhersteller nach § 87b UrhG.
Dieses Recht schützt Personen, die eine Datenbank erstellen und dabei eine wesentliche Investition tätigen. Die systematische Entnahme wesentlicher Teile dieser Datenbank, beispielsweise das Auslesen kompletter Verzeichnisse oder Kataloge für ein Konkurrenz-SaaS, stellt eine Verletzung dieses Schutzrechts dar. Auch die wiederholte Entnahme unwesentlicher Teile kann unzulässig sein.
Datenschutzrechtliche Hürden: Die DSGVO-Falle
Neben dem Urheberrecht stellt der Datenschutz eine der größten Hürden dar. Websites enthalten oft personenbezogene Daten wie Namen, E-Mail-Adressen oder Social-Media-Profile. Obwohl diese Daten öffentlich einsehbar sind, bedeutet dies nicht, dass sie von DSGVO-Pflichten befreit sind.
Wer solche Daten mittels Web Scraping massenhaft sammelt und verarbeitet, etwa für Lead-Generation-Tools oder das Training von Sprachmodellen, benötigt eine klare Rechtsgrundlage gemäß Art. 6 DSGVO. Das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) kann hierbei als Grundlage dienen. Es erfordert jedoch stets eine sorgfältige Interessenabwägung.
Zusätzlich muss die Informationspflicht nach Art. 14 DSGVO beachtet werden. Dies ist bei Millionen gescrapten Kontakten in der Praxis kaum umsetzbar.
Strategien für rechtssicheres KI-Training und Web Scraping
Trotz der genannten rechtlichen Hürden ist das Training von KI-Modellen und die Datenaggregation nicht unmöglich. Unternehmen sollten die folgenden Punkte berücksichtigen, um Compliance zu gewährleisten:
1. Prüfung auf maschinenlesbare Opt-outs
Vor dem automatisierten Auslesen von Daten muss die
robots.txt-Datei sowie die Metadaten der Ziel-Website auf maschinenlesbare Opt-out-Erklärungen geprüft werden.
2. Fokus auf lizenzierte und Open-Source-Daten
Der sicherste Weg führt über Daten, die unter Lizenzen stehen, welche eine kommerzielle Nutzung explizit erlauben (z.B. bestimmte Creative Commons Lizenzen).
Alternativ sind direkte Lizenzvereinbarungen mit Datenanbietern eine verlässliche Option.
3. Vorsicht bei Forschungsdaten
Die Schranke für wissenschaftliche Forschung (§ 60d UrhG) ermöglicht zwar ein weitreichenderes Text- und Data-Mining.
Diese Ausnahme gilt jedoch nur für nicht-kommerzielle Forschungseinrichtungen; ein SaaS-Startup kann sich darauf nicht berufen.
4. Anonymisierung personenbezogener Daten
Werden personenbezogene Daten gescrapt, sollten diese frühzeitig aus dem Datensatz gefiltert und gelöscht werden.
Dies sollte geschehen, bevor die Daten in das eigentliche Training des Modells einfließen, um Datenschutzrisiken zu minimieren.
Fazit und Ausblick
Die Rechtslage im Bereich Web Scraping und Künstliche Intelligenz unterliegt einem stetigen Wandel. Das komplexe Zusammenspiel aus Urheberrecht, dem EU AI Act (in zukünftiger Geltung) und der DSGVO erfordert von SaaS-Anbietern und KI-Entwicklern ein durchdachtes Data-Governance-Konzept. Eine proaktive und rechtlich fundierte Strategie ist entscheidend, um kostspielige Abmahnungen und langwierige Rechtsstreitigkeiten zu vermeiden.
Schritt-für-Schritt-Anleitung
- Prüfung auf maschinenlesbare Opt-outs
Vor dem automatisierten Auslesen von Daten muss die robots.txt-Datei sowie die Metadaten der Ziel-Website auf maschinenlesbare Opt-out-Erklärungen geprüft werden.
- Fokus auf lizenzierte und Open-Source-Daten
Der sicherste Weg führt über Daten, die unter Lizenzen stehen, welche eine kommerzielle Nutzung explizit erlauben (z.B. bestimmte Creative Commons Lizenzen). Alternativ sind direkte Lizenzvereinbarungen mit Datenanbietern eine verlässliche Option.
- Vorsicht bei Forschungsdaten
Die Schranke für wissenschaftliche Forschung (§ 60d UrhG) ermöglicht zwar ein weitreichenderes Text- und Data-Mining. Diese Ausnahme gilt jedoch nur für nicht-kommerzielle Forschungseinrichtungen; ein SaaS-Startup kann sich darauf nicht berufen.
- Anonymisierung personenbezogener Daten
Werden personenbezogene Daten gescrapt, sollten diese frühzeitig aus dem Datensatz gefiltert und gelöscht werden. Dies sollte geschehen, bevor die Daten in das eigentliche Training des Modells einfließen, um Datenschutzrisiken zu minimieren.