← Alle Artikel

Selbst wenn ein Unternehmen datenschutzrechtlich eine vertretbare Argumentation aufbauen kann, ist damit noch nicht jedes Risiko beseitigt. Recruiting-Scraping bewegt sich nämlich nicht nur im Spannungsfeld der DSGVO, sondern auch im Bereich von Plattformregeln, zivilrechtlicher Haftung und möglichen Schadensersatzansprüchen.

Gerade dieser Punkt wird in der Praxis oft unterschätzt.

DSGVO-Zulässigkeit und Plattformregeln sind nicht dasselbe

Ein häufiger Fehler besteht darin, Datenschutzrecht und Nutzungsbedingungen der Plattformen miteinander zu verwechseln.

Eine Verarbeitung kann theoretisch datenschutzrechtlich vertretbar erscheinen und trotzdem gegen die Regeln der Plattform verstoßen. Umgekehrt macht eine plattformseitig zugängliche Oberfläche eine Datenverarbeitung noch nicht automatisch DSGVO-konform.

Unternehmen müssen daher beide Ebenen getrennt prüfen:

  1. Ist die Verarbeitung nach Datenschutzrecht zulässig?
  2. Ist das konkrete technische Vorgehen nach den Plattformbedingungen erlaubt?

LinkedIn: Klare vertragliche Grenze gegen Scraping

Bei LinkedIn ist die vertragliche Lage vergleichsweise deutlich. Die Plattform untersagt in ihren Nutzungsbedingungen ausdrücklich den Einsatz von Software, Skripten, Robotern, Crawlern oder vergleichbaren Mitteln, um Profile oder andere Daten der Dienste zu scrapen oder zu kopieren.

Für Unternehmen bedeutet das: Selbst wenn man datenschutzrechtlich noch argumentieren möchte, bleibt das zusätzliche Risiko, dass Konten gesperrt, Zugriffe begrenzt oder vertragliche Ansprüche ausgelöst werden.

XING: Öffentliche Daten bleiben trotzdem kein Freiraum

Auch bei XING folgt aus der öffentliche Sichtbarkeit von Daten kein uneingeschränktes Recht zur beliebigen Weiterverarbeitung. Zwar ist in Business-Netzwerken typischerweise damit zu rechnen, dass berufliche Profildaten wahrgenommen und genutzt werden. Daraus folgt aber noch keine schrankenlose Befugnis zur systematischen, automatisierten Datensammlung.

Wer auf XING oder ähnlichen Diensten automatisiert große Mengen personenbezogener Daten verarbeitet, bleibt also voll im Bereich datenschutzrechtlicher und organisatorischer Prüfpflichten.

Schadensersatz: Das Risiko ist real

Lange wurde in vielen Verfahren darüber gestritten, wann Betroffene wegen Datenschutzverstößen einen immateriellen Schaden geltend machen können. Die Entwicklung der Rechtsprechung zeigt inzwischen deutlich: Unternehmen sollten dieses Risiko ernst nehmen.

Schon der Verlust der Kontrolle über personenbezogene Daten kann rechtlich relevant werden. Das erhöht den Druck auf Unternehmen, nicht nur formal saubere Prozesse zu haben, sondern auch technisch und organisatorisch belastbare Schutzmechanismen umzusetzen.

Besonders heikel wird es, wenn Unternehmen nicht darlegen können,

  • welche Daten genau erhoben wurden,
  • auf welcher Grundlage dies geschah,
  • wie lange gespeichert wurde,
  • wie Betroffenenrechte abgesichert waren,
  • ob Zugriffsbeschränkungen und Löschkonzepte existierten.

Das Problem der Rechenschaftspflicht in Haftungssituationen

Gerade im Streitfall zeigt sich, warum die Rechenschaftspflicht so wichtig ist. Wer personenbezogene Daten verarbeitet, trägt die Darlegungs- und Nachweislast für die Rechtmäßigkeit der Verarbeitung.

Anders gesagt: Es reicht nicht, im Nachhinein zu sagen, man habe schon gute Gründe gehabt. Unternehmen müssen ihre Datenschutz-Logik dokumentiert, belastbar und überprüfbar aufgebaut haben.

Fehlt diese Nachweisbarkeit, steigt das Risiko in mehreren Richtungen gleichzeitig:

  • aufsichtsbehördliche Maßnahmen
  • Unterlassungsansprüche
  • Auskunfts- und Löschungsverlangen
  • Schadensersatzforderungen
  • operative Schäden durch Kontosperrungen oder Plattformmaßnahmen

Warum großflächige Systeme besonders angreifbar sind

Je systematischer, häufiger und umfangreicher das Scraping erfolgt, desto größer wird die Angriffsfläche.

Denn mit dem Skalierungsgrad wachsen regelmäßig auch:

  • die Zahl der betroffenen Personen,
  • die Anforderungen an Transparenz,
  • die Dokumentationspflichten,
  • die Anforderungen an Löschung und Widerspruchsmanagement,
  • die Risiken bei Fehlkonfigurationen oder unzulässiger Datenspeicherung.

Was im Kleinen schon sensibel ist, wird im großen Stil schnell zu einem strukturellen Compliance-Thema.

Urheberrecht und Datenbankschutz: Nicht der Hauptschauplatz, aber relevant

Auch urheberrechtliche Fragen können eine Rolle spielen, etwa im Zusammenhang mit Datenbankschutz oder der unzulässigen Übernahme geschützter Inhalte. Für reine Recruiting-Szenarien mit fokussierter Datennutzung stehen diese Fragen meist nicht im Vordergrund. Sie verschwinden aber nicht vollständig, insbesondere dann, wenn Inhalte über das erforderliche Maß hinaus kopiert, weitergegeben oder extern veröffentlicht werden.

Fazit

Recruiting-Scraping ist rechtlich nicht nur eine Frage der DSGVO. Unternehmen müssen zusätzlich mit Plattformverstößen, Kontobeschränkungen, Reputationsschäden und Schadensersatzrisiken rechnen.

Die entscheidende Erkenntnis lautet deshalb: Selbst eine theoretisch vertretbare datenschutzrechtliche Argumentation schützt nicht vor praktischen Haftungsrisiken, wenn Prozesse technisch, vertraglich oder organisatorisch unsauber gebaut sind.

Weitere Artikel dieser Serie

Teil 1: Ist Recruiting-Scraping auf LinkedIn und XING zulässig?
Teil 2: Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Kann das Recruiting-Scraping tragen?
Teil 3: Datenminimierung, Transparenz, Löschung: Diese DSGVO-Pflichten entscheiden über die Zulässigkeit
Teil 4: AGB, Schadensersatz und Haftung: Wo Recruiting-Scraping rechtlich besonders riskant wird
Teil 5: Praxis-Check: Wann Recruiting-Scraping vertretbar sein kann, und wann nicht
Annika S. Zierhut
Annika S. Zierhut
Juristin, LL.B., Recht, Technologie und KI