← Alle Artikel

Selbst wenn sich Recruiting-Scraping im Einzelfall auf ein berechtigtes Interesse stützen lässt, ist die rechtliche Prüfung damit noch lange nicht abgeschlossen. In der Praxis scheitert die Zulässigkeit oft nicht an der Grundidee, sondern an der Umsetzung.

Denn die DSGVO verlangt mehr als nur eine vertretbare Rechtsgrundlage. Sie verlangt auch, dass die konkrete Verarbeitung sauber ausgestaltet, begrenzt und nachweisbar kontrolliert wird.

Datenminimierung: Nicht alles sammeln, was technisch erreichbar ist

Der wohl wichtigste Maßstab lautet: nur so viel wie nötig, nicht so viel wie möglich.

Unternehmen dürfen also nicht einfach komplette Profile in ihre Systeme ziehen, nur weil die Daten sichtbar oder abrufbar sind. Erforderlich ist nur das, was für den konkreten Recruiting-Zweck tatsächlich gebraucht wird.

Wer etwa nur passende Kandidaten identifizieren möchte, wird kaum den vollständigen Profilverlauf, jede Aktivität, sämtliche Interessen oder zusätzliche Kontextinformationen benötigen. Je enger die Datenauswahl, desto besser lässt sich die Verarbeitung rechtfertigen.

Die praktische Frage sollte deshalb immer lauten:

Welche Information brauche ich wirklich, um eine Person als potenziell passende Kandidatin oder potenziell passenden Kandidaten zu identifizieren?

Alles, was darüber hinausgeht, erhöht das rechtliche Risiko.

Zweckbindung: Ein sauberer Zweck schützt vor Ausweitung

Ein weiterer Kernpunkt ist die Zweckbindung. Daten dürfen nicht unscharf „für Recruiting und vielleicht später noch für etwas anderes" erhoben werden.

Zulässig ist nur ein klar definierter, legitimer und dokumentierter Zweck. Beispielsweise:

  • Identifikation potenziell geeigneter Kandidaten für konkrete offene Rollen
  • Ansprache von Kandidaten für bestimmte berufliche Einsatzfelder
  • Aktualisierung eines engen Talent-Pools mit begrenzter Laufzeit

Problematisch wird es, wenn Daten später ohne neue Prüfung für andere Ziele genutzt werden, etwa für Vertrieb, Marktanalysen, Profiling oder allgemeine Datenanreicherung.

Transparenz: Betroffene dürfen nicht im Dunkeln bleiben

Die DSGVO will gerade verhindern, dass Menschen nicht mehr wissen, wer was wann und warum über sie verarbeitet. Deshalb sind Transparenz und Information zentrale Anforderungen.

Beim Scraping aus Drittquellen stellt sich die Frage nach den Informationspflichten nach Art. 14 DSGVO. Unternehmen müssen grundsätzlich darüber informieren,

  • welche Daten verarbeitet werden,
  • aus welcher Quelle sie stammen,
  • zu welchem Zweck die Verarbeitung erfolgt,
  • auf welcher Rechtsgrundlage sie beruht,
  • wie lange die Daten gespeichert werden,
  • welche Rechte den Betroffenen zustehen.

Zwar kennt Art. 14 DSGVO Ausnahmen, etwa wenn die Information unmöglich ist oder nur mit unverhältnismäßigem Aufwand möglich wäre. Diese Ausnahmen sind jedoch eng auszulegen.

Wer sich auf „unverhältnismäßigen Aufwand" berufen will, sollte das nicht nur pauschal behaupten, sondern belastbar begründen können.

Löschung und Speicherbegrenzung: Keine Datenhalde auf Vorrat

Ein besonders kritischer Punkt beim Recruiting-Scraping ist die Speicherdauer. Viele Prozesse scheitern daran, dass Daten zwar erhoben werden, aber kein sauberer Mechanismus existiert, wann sie wieder gelöscht werden.

Genau das ist datenschutzrechtlich gefährlich.

Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den jeweiligen Zweck erforderlich sind. Danach müssen sie gelöscht oder zumindest aus aktiven Prozessen entfernt werden.

Für die Praxis bedeutet das:

  • Es braucht klare Aufbewahrungsfristen.
  • Es braucht technische Löschmechanismen.
  • Es braucht definierte Trigger, wann die Erforderlichkeit entfällt.

Ein klassisches Beispiel: Eine Person kommt für eine konkrete Rolle endgültig nicht mehr in Betracht. Ab diesem Zeitpunkt muss geprüft werden, ob und wie lange eine weitere Speicherung noch zu rechtfertigen ist.

Widerspruchsrecht und Betroffenenrechte

Wer Daten auf Grundlage eines berechtigten Interesses verarbeitet, muss das Widerspruchsrecht nach Art. 21 DSGVO ernst nehmen. Betroffene müssen die Möglichkeit haben, der Verarbeitung ihrer Daten zu widersprechen.

Ebenso müssen Unternehmen organisatorisch in der Lage sein, weitere Rechte umzusetzen, insbesondere:

  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung

Diese Rechte sind keine reine Formalie. Wer sie operativ nicht bedienen kann, hat ein strukturelles Datenschutzproblem.

Braucht es eine Datenschutz-Folgenabschätzung?

Nicht jeder Recruiting-Prozess löst automatisch eine Datenschutz-Folgenabschätzung aus. Sie kann aber erforderlich werden, wenn eine Verarbeitung mit hohen Risiken für die Rechte und Freiheiten der betroffenen Personen verbunden ist.

Besonders relevant wird das bei:

  • systematischer und umfassender Bewertung persönlicher Aspekte,
  • automatisiertem Profiling,
  • großflächiger Verknüpfung mehrerer Datenquellen,
  • dauerhafter oder sehr intensiver Überwachung.

Wer hingegen nur begrenzt Daten erfasst, Kandidaten grob identifiziert und keine tiefergehenden Persönlichkeitsprofile erstellt, bewegt sich eher außerhalb dieser Schwelle. Auch das sollte allerdings bewusst geprüft und dokumentiert werden.

Rechenschaftspflicht: Ohne Dokumentation wird es gefährlich

Die DSGVO verlangt nicht nur datenschutzkonformes Handeln, sondern auch den Nachweis davon. Unternehmen müssen also im Zweifel belegen können,

  • warum sie die Daten verarbeiten,
  • warum der Umfang erforderlich ist,
  • wie die Abwägung vorgenommen wurde,
  • welche Fristen gelten,
  • welche Schutzmaßnahmen umgesetzt sind,
  • wie Rechte der Betroffenen praktisch gewahrt werden.

Wer hier keine belastbare Dokumentation hat, verliert schnell die rechtliche Verteidigungsfähigkeit, selbst dann, wenn die Grundidee der Verarbeitung ursprünglich vertretbar gewesen wäre.

Fazit

Die eigentliche Musik spielt beim Recruiting-Scraping oft nicht nur bei der Rechtsgrundlage, sondern bei den Pflichten drumherum. Datenminimierung, Transparenz, Löschung und Rechenschaftspflicht sind keine Nebensachen, sondern das Zentrum der Zulässigkeit.

Weitere Artikel dieser Serie

Teil 1: Ist Recruiting-Scraping auf LinkedIn und XING zulässig?
Teil 2: Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Kann das Recruiting-Scraping tragen?
Teil 3: Datenminimierung, Transparenz, Löschung: Diese DSGVO-Pflichten entscheiden über die Zulässigkeit
Teil 4: AGB, Schadensersatz und Haftung: Wo Recruiting-Scraping rechtlich besonders riskant wird
Teil 5: Praxis-Check: Wann Recruiting-Scraping vertretbar sein kann, und wann nicht
Annika S. Zierhut
Annika S. Zierhut
Juristin, LL.B., Recht, Technologie und KI