Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Vermögensermittlung und Web Scraping: Erfahrungsbericht aus dem Fall CEREBRO für Unternehmen

PrintMailRate-it

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​veröffentlicht am 26. September 2025 | Lesedauer ca. 5 Minuten


Die italienische Datenschutzbehörde hat in ihrer Entscheidung vom 4. August 2025 eine positive Stellungnahme zur Datenschutz-Folgenabschätzung (DPIA) in Bezug auf CEREBRO abgegeben, das von der Abteilung für öffentliche Sicherheit des Innenministeriums eingerichtete „System zur Analyse und Verarbeitung von Daten zur Unterstützung von Vermögensermittlungen”. 

Dieses Verfahren ging auf einen Antrag des Innenministeriums auf vorherige Rücksprache zu einer Datenschutz-Folgenabschätzung (DPIA) in Bezug auf das CEREBRO-System zurück.

Die CEREBRO-Plattform ist vor allem ein zentrales Ermittlungsinstrument, das dazu dient, illegal erworbene Vermögenswerte aufzuspüren und der Kriminalität zu entziehen. Die Plattform arbeitet hauptsächlich auf zwei Arten: einerseits durch die Erfassung von Daten aus externen institutionellen Quellen, andererseits durch die Verarbeitung dieser Daten in Kombination mit manuell eingegebenen Informationen, um unverhältnismäßige finanzielle und vermögensrechtliche Verfügungen zu identifizieren, die möglicherweise auf illegale Aktivitäten zurückzuführen sind.

Die Datenschutzbehörde erkannte zwar, insbesondere nach Einreichung des oben genannten Antrags, den Zweck der Prävention und Verfolgung von Straftaten an, bat jedoch zur besseren Folgenabschätzung um Klarstellungen in einigen kritischen Punkten, ​darunter:
  • die Verwendung des Begriffs „Web Scraping” in der DPIA zur Beschreibung der Datenerfassungsmethoden. Dieser konnte als Hinweis auf eine erhebliche und willkürliche Sammlung personenbezogener Daten aus dem Netz verstanden werden, die sogenannten ‚Trawling‘-Verfahren. Solche Methoden sind nach den Datenschutzvorschriften in der Regel unzulässig, da die gesammelten Informationen dabei nicht auf ihre Korrektheit überprüft werden;​
  • das Fehlen geeigneter Maßnahmen zur Sicherstellung der Rechte der betroffenen Personen. Hierbei konnte nicht ausgeschlossen werden, dass das betreffende System auf einem „automatisierten Entscheidungsprozess“ beruht, was spezifische Risiken mit sich bringt und den Einsatz präziser Datenschutzmaßnahmen erforderlich macht.

Das Ministerium für öffentliche Sicherheit hat daher eine aktualisierte Fassung der DPIA vorgelegt, in der es auf die Bemerkungen der Datenschutzbehörde eingegangen ist und klarstellte, dass sich der Begriff „Web Scraping“ nicht auf die erhebliche und willkürliche Erhebung personenbezogener Daten aus dem Netz bezieht, sondern auf eine gezielte Extraktion von Informationen aus bestimmten autorisierten institutionellen Datenbanken, auf die ausschließlich befugte Polizeibeamte Zugriff haben. Die Richtigkeit der Daten wird durch eine manuelle Überprüfung der entnommenen Informationen sichergestellt und es wurde klargestellt, dass, sobald verfügbar, alternative Verfahren auf Grundlage einer kooperativen Anwendung zum Schutz der Betroffenen eingeführt werden. Tatsächlich wurde der Einsatz der gezielten Extraktionstechnik „Web Scraping”, als die derzeit einzige verfügbare Methode zur automatischen Erfassung der für die Vermögensermittlung erforderlichen Informationen aus bestimmten institutionellen Datenbanken beschrieben. 

Zudem erfolgt die Identifizierung der Personen, gegen die ermittelt wird, erst nach einer Voruntersuchung, die unter der Leitung der vorschlagenden Behörde oder der Justizbehörde durchgeführt wird. Dabei müssen Anhaltspunkte für unverhältnismäßige wirtschaftliche oder finanzielle Mittel festgestellt werden. Anschließend ist die Veröffentlichung einer Datenschutzerklärung auf der Website der Polizei vorgesehen. Diese enthält sämtliche Informationen gemäß den Artt. 13 und 14 der DSGVO sowie eine Kontaktstelle für die Ausübung der Rechte der Betroffenen.  Schließlich wurde bekräftigt, dass die von CEREBRO erstellten Berichte lediglich einen Ermittlungszweck haben und keine direkten negativen Auswirkungen auf den Rechtsbereich der betroffenen Person haben, da gerichtliche Maßnahmen nur nach einem kontradiktorischen Verfahren mit der Verteidigung der Person getroffen werden, wodurch die Vorrangstellung des menschlichen Eingreifens gewährleistet ist.

Die Untersuchung der Datenschutzbehörde konzentrierte sich auf die Analyse der für die Verarbeitungstätigkeiten gewählten Rechtsgrundlage in Übereinstimmung mit den zwingenden Anforderungen von Art. 6 der DSGVO und kam zu dem Entschluss, dass die vom Ministerium angeführten Rechtsquellen geeignet sind, die Datenverarbeitung zu legitimieren. 
Die Datenschutzbehörde stellte außerdem klar, dass der Einsatz neuer Technologien und die Art der Verarbeitung dennoch ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen darstellten, sodass eine vorherige Konsultation der Datenschutzbehörde erforderlich war.

Im Zentrum der Analyse standen auch die wesentlichen Prinzipien der Transparenz sowie der Schutz der Grundrechte und Grundfreiheiten der betroffenen Personen. Zum einen ist das Ministerium verpflichtet, umfassende Informationen über die Datenverarbeitung offenzulegen, zum anderen wurde hervorgehoben, dass das CEREBRO-System ausschließlich Berichte zur Ermittlungsunterstützung erstellt. Jede Entscheidung mit rechtlichen Folgen setzt hingegen ein weiteres Verfahren voraus, in dem menschliches Eingreifen im Rahmen eines kontradiktorischen Prozesses sichergestellt wird. Damit soll der Befürchtung entgegengewirkt werden, dass rein automatisierte Datenverarbeitungen erhebliche Auswirkungen auf die Betroffenen haben könnten.

Die Datenschutzbehörde war schließlich der Ansicht, dass auch der Grundsatz der Speicherbegrenzung durch die Festlegung einer maximalen Aufbewahrungsfrist für die Daten eingehalten wurde. So fällt die Schließung der digitalen Akte mit dem Zeitpunkt zusammen, an dem der konkrete und spezifische Zweck der Datenerhebung und -analyse erfüllt ist. Spätestens nach zehn Jahren löscht das System die Daten automatisch und stellt damit sicher, dass Informationen nicht länger als erforderlich gespeichert werden.

Daher fiel die endgültige Entscheidung der Datenschutzbehörde, die in einer Maßnahme vom 4. August 2025 zum Ausdruck kam, zugunsten der Folgenabschätzung zum CEREBRO-System aus. 

Zusammenfassend lässt sich sagen, dass dieser Fall zwar zeigt, wie öffentliche Behörden Instrumente wie CEREBRO zu Ermittlungs- und Strafverfolgungszwecken einsetzen können, die Entscheidung der Datenschutzbehörde jedoch auch interessante Aspekte für Unternehmen bietet, die ähnliche Instrumente für Vermögensermittlungszwecke einsetzen möchten. Insbesondere:
  1. Klare und dokumentierte Rechtsgrundlage; Da Unternehmen sich nicht auf die Rechtsgrundlagen der Polizeibehörden berufen können, müssen sie eine geeignete Rechtsgrundlage unter den in Art. 6 der DSGVO aufgeführten finden, die durch eine angemessene dokumentierte Risikoanalyse und in Fällen mit hohem Risiko durch eine Datenschutz-Folgenabschätzung (DPIA) gestützt wird.
  2. Kein umfassendes und willkürliches Scraping: Das „Trawling” auf Websites oder in sozialen Netzwerken kann rechtswidrig sein. Es ist notwendig, sich auf tatsächlich zugängliche und relevante institutionelle Quellen zu beschränken (z. B. Wirtschaftsinformationssysteme und autorisierte Datenbanken).
  3. Genauigkeit und Aktualisierung der Daten: Die gewonnenen Ergebnisse müssen anhand offizieller Quellen oder durch manuelle Kontrollen überprüft werden, um zu verhindern, dass veraltete oder falsche Informationen nachteilige Auswirkungen haben.
  4. Transparenz und Informationen: Es ist sinnvoll, klare und zugängliche allgemeine Informationen über die durchgeführten Vermögensermittlungen bereitzustellen.
  5. Begrenzung der Aufbewahrung: Die Daten dürfen nicht auf unbestimmte Zeit gespeichert werden: Es müssen genaue und dokumentierte Aufbewahrungsfristen festgelegt werden, die sich nach dem konkreten Zweck richten (z. B. bis zum Abschluss eines Inkassoverfahrens oder bis zur Beendigung eines etwaigen Vertragsverhältnisses, natürlich unter Berücksichtigung der geltenden Verjährungsfristen).
  6. Automatisierte Entscheidungen vermeiden: Analyseinstrumente müssen eine unterstützende Funktion haben und dürfen die menschliche Beurteilung nicht vollständig ersetzen. Jede automatisierte Entscheidung mit Auswirkungen auf die Gegenpartei (z. B. Einleitung eines Gerichtsverfahrens, Sperrung von Geschäftsbeziehungen) muss durch eine menschliche Prüfung erfolgen.
  7. Einbeziehung des Datenschutzbeauftragten und von Rechtsberatern: ​​Angesichts der Komplexität der Rechtsvorschriften ist es empfehlenswert, den Datenschutzbeauftragten und spezialisierte Rechtsanwälte einzubeziehen, um die Rechte der betroffenen Personen zu schützen, Prozesse zu strukturieren, klare Informationen zu gewährleisten und konforme Sicherheitsmaßnahmen umzusetzen.

Autorinnen: 
Martina Ortillo - Associate Partner​
Vanessa Cunico - Intern

aus dem Newsletter

Legal News​​letter​​​​​​​

kontakt

Contact Person Picture

Martina Ortillo

Attorney at law (Italien)

Associate Partner

+39 02 6328 841

Anfrage senden

Profil

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu