← Alle Artikel

Wenn Unternehmen personenbezogene Daten aus LinkedIn- oder XING-Profilen regelmäßig auslesen, stellt sich die Frage nach der Rechtsgrundlage. Zunächst wird dabei an die Einwilligung gedacht. Bei genauerer Betrachtung steht aber meist etwas anderes im Zentrum: das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO.

1. Warum die Einwilligung allein rechtlich schwierig ist

Eine Einwilligung nach Maßgabe des Art. 6 I UA 1 lit. a, Art. 7 DSGVO als einzige Rechtsgrundlage anzunehmen, wird sich im Einzelfall als schwierig erweisen. In der DSGVO gilt grundsätzlich der Grundsatz des Verbots mit Erlaubnisvorbehalt und der Vorrang der Direkterhebung.1 Dieser besagt, dass personenbezogene Daten primär beim Betroffenen selbst zu erheben sind. Bei der Datenerhebung- und Verarbeitung von personenbezogenen Daten auf Netzwerken wie XING oder LinkedIn ist eine solche Direkterhebung regelmäßig nicht möglich.

2. Beurteilung nach Art. 6 Abs. 1 lit. f DSGVO

Art. 6 Abs. 1 lit. f DSGVO erlaubt eine Verarbeitung, wenn

  1. ein berechtigtes Interesse des Verantwortlichen oder eines Dritten besteht,
  2. die Verarbeitung erforderlich ist,
  3. und keine überwiegenden Interessen oder Grundrechte der betroffenen Person entgegenstehen.2

Genau diese Struktur passt zu Recruiting-Szenarien deutlich besser. Denn Unternehmen verfolgen ein legitimes wirtschaftliches Interesse: Sie möchten geeignete Arbeitnehmerinnen und Arbeitnehmer identifizieren und ansprechen.

Gleichzeitig kann auch auf Seiten der betroffenen Personen ein relevantes Interesse bestehen, nämlich an beruflicher Sichtbarkeit, neuen Karriereoptionen oder konkreten Jobangeboten.

3. Wann die Interessenabwägung zugunsten des Unternehmens ausfallen kann

Ob sich Recruiting-Scraping auf ein berechtigtes Interesse stützen lässt, entscheidet sich immer im Einzelfall. Bestimmte Faktoren sprechen jedoch eher für eine Zulässigkeit:

a) Beruflicher Kontext der Plattform

LinkedIn und XING sind keine beliebigen sozialen Netzwerke. Sie dienen gerade der beruflichen Präsentation, dem Netzwerken und dem Recruiting. Wer dort ein Profil pflegt, bewegt sich typischerweise im Kontext von Karriere und Arbeitsmarkt.

b) Aktive Wechselsignale der Nutzer

Besonders relevant ist, wenn Nutzer deutlich signalisieren, dass sie für berufliche Angebote offen sind. Bei LinkedIn ist der bekannte Hinweis „Open to Work" beziehungsweise die Offenheit für Jobangebote ein besonders starkes Signal.

c) Begrenzter und sachlicher Verarbeitungszweck

Je enger der Zweck definiert ist, desto eher lässt sich die Verarbeitung rechtfertigen. Wer nur solche Daten erfasst, die für die Identifikation potenziell passender Kandidaten erforderlich sind, steht rechtlich besser da als Unternehmen, die Profile umfassend archivieren oder für mehrere Zwecke gleichzeitig verwenden.

d) Keine Erstellung umfassender Persönlichkeitsprofile

Problematisch wird es dort, wo aus einzelnen Profildaten weitreichende Bewertungen, Scores oder Profilings entstehen. Die rechtliche Argumentation wird schwächer, wenn nicht mehr Recruiting im engeren Sinn betrieben wird, sondern Verhaltens- oder Eignungsprofile entstehen.

4. Kritische Konstellationen

Das berechtigte Interesse ist kein Freifahrtschein. Es scheitert insbesondere dann, wenn die Verarbeitung über das Erforderliche hinausgeht.

Kritisch sind zum Beispiel Konstellationen, in denen:

  • deutlich mehr Daten erfasst werden als für Recruiting nötig,
  • Daten über lange Zeit gespeichert bleiben,
  • Profile fortlaufend überwacht oder aktualisiert werden,
  • Informationen aus mehreren Quellen zu umfassenden Personenprofilen zusammengeführt werden,
  • Betroffene praktisch keine Möglichkeit haben, die Verarbeitung zu erkennen oder ihr zu widersprechen.

Mit anderen Worten: Je stärker die Verarbeitung in Richtung systematischer Beobachtung oder Datenvorrat geht, desto schwieriger wird die Berufung auf Art. 6 Abs. 1 lit. f DSGVO.

5. Vernünftige Erwartungen der Betroffenen

Ein Kern der Interessenabwägung ist die Frage, womit Betroffene vernünftigerweise rechnen dürfen.

Bei Business-Netzwerken ist durchaus erwartbar, dass Recruiter, Arbeitgeber oder Personalberater öffentliche Profilinformationen zur Identifikation passender Kandidaten nutzen. Weniger erwartbar ist dagegen, dass Profile massenhaft, dauerhaft und technisch hochautomatisiert ausgelesen, gespeichert und mit weiteren Datenquellen verknüpft werden.

Genau an dieser Stelle entscheidet sich häufig die rechtliche Bewertung.

6. Praktische Konsequenz für Unternehmen

Wer sich auf ein berechtigtes Interesse stützen will, sollte dieses nicht nur behaupten, sondern sauber dokumentieren. Dazu gehört insbesondere:

  • Beschreibung des konkreten Recruiting-Zwecks
  • Begründung der Erforderlichkeit
  • Abwägung mit den Interessen der Betroffenen
  • Begrenzung des Datenumfangs
  • technische und organisatorische Schutzmaßnahmen
  • Prozesse für Widerspruch und Löschung

7. Fazit

Ja: Recruiting-Scraping kann sich grundsätzlich auf ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen. Aber nur dann, wenn der Zweck eng begrenzt, die Verarbeitung erforderlich und die Interessen der Betroffenen ausreichend berücksichtigt sind.

Sobald der Prozess in Richtung Massenarchivierung, Profilbildung oder intransparente Dauerbeobachtung kippt, wird diese Argumentation deutlich brüchiger.

  1. Pascal Schumacher, in: Bräutigam, IT-Outsourcing und Cloud-Computing, B. Datenschutzrechtliche Aspekte bei Outsourcing-Projekten, Rn. 26, 27. ↩︎

  2. vgl. EuGH, Urteil vom 14.12.2023 - C-340/21 – juris; vgl. auch https://www.drdatenschutz.de/data-scraping-aus-sicht-der-dsgvo-am-beispiel-linkedin/↩︎

Weitere Artikel dieser Serie

Teil 1: Rechtmäßigkeit von einem Scraping von personenbezogenen Daten zur unternehmensbezogenen Suche von Arbeitnehmern
Teil 2: Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO
Teil 3: Datenminimierung, Transparenz, Löschung: Diese rechtlichen Pflichten sind nicht zu unterschätzen.
Teil 4: Schadensersatz und Haftung: Wo Scraping rechtlich besonders riskant wird
Teil 5: Ein kurzer Ausblick auf die Praxis
Annika S. Zierhut
Annika S. Zierhut
Juristin, LL.B., Recht, Technologie und KI