← Alle Artikel

Wer auf LinkedIn oder XING nach potenziellen Kandidatinnen und Kandidaten sucht, bewegt sich längst nicht mehr nur im Bereich des klassischen Recruiting. Sobald Profile systematisch ausgelesen, gespeichert, abgeglichen oder angereichert werden, stellt sich eine datenschutzrechtliche Kernfrage: Ist das überhaupt zulässig? Ein häufiger Denkfehler lautet: Wenn ein Profil sichtbar ist, darf man die Daten auch automatisiert übernehmen. So einfach ist es rechtlich nicht.

Die kurze Antwort lautet: Pauschal verboten ist es nicht, aber rechtlich nur unter engen Voraussetzungen zulässig. Genau deshalb lohnt sich ein genauer Blick auf die DSGVO.

1. Warum Scraping datenschutzrechtlich relevant ist

Viele Unternehmen unterschätzen den Ausgangspunkt. Öffentliche Profile in Business-Netzwerken wirken zunächst wie frei verfügbare Informationen. Sobald personenbezogene Daten automatisiert erfasst und weiterverarbeitet werden, greift die DSGVO.

Dazu gehören typischerweise:

  • Name
  • Profilfoto
  • beruflicher Werdegang
  • Kenntnisse und Sprachangaben
  • Wechselbereitschaft oder Recruiting-Signale
  • sonstige Informationen, die eine Person direkt oder indirekt identifizierbar machen

Gerade beim regelmäßigen oder großflächigen Scraping liegt eine automatisierte Verarbeitung personenbezogener Daten vor. Damit beginnt die Prüfung nicht erst bei der Kontaktaufnahme, sondern bereits beim Erfassen, Speichern und Strukturieren der Daten.

2. Anwendungsbereich der DSGVO

Die Verarbeitung personenbezogener Daten durch Web Scraping unterliegt strengen Grundsätzen, um den Schutz natürlicher Personen zu gewährleisten. Gem. Art. 2 DSGVO umfasst der sachliche Anwendungsbereich die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten. Räumlich erstreckt sich der Anwendungsbereich nach Art. 3 DSGVO auf die Datenverarbeitung innerhalb der EU. Art. 4 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Web Scraping als automatisiertes Verfahren zur Erfassung und Verarbeitung einer Vielzahl öffentlich zugänglicher Informationen auf Nutzerprofilen fällt eindeutig unter diesen Anwendungsbereich.1

3. Spezifische Anforderungen der DSGVO

Die DSGVO perpetuiert spezifische Anforderungen, die auslegungsbedürftig sind. Entsprechend der Vorgabe von Art. 8 II 1 GRC dürfen personenbezogene Daten nur mit Einwilligung der betroffenen Person oder auf Grundlage anderer gesetzlich geregelter legitimer Regelungen nach Art. 6 DSGVO verarbeitet werden. Die Verarbeitung muss unter Rücksichtnahme von Treu und Glauben sowie nach den in Art. 5 I DSGVO niedergelegten Grundsätzen erfolgen. Es besteht daher eine Rücksichtnahmepflicht, die Interessen der betroffenen Person wahrzunehmen.2 Dieses Erfordernis stellt damit letztlich eine Ausprägung des Grundsatzes der Verhältnismäßigkeit dar.3 Es sind folgende Grundsätze zu berücksichtigen:

  • Rechtmäßigkeit
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Gerade die Rechenschaftspflicht wird in der Praxis oft übersehen. Unternehmen müssen nicht nur datenschutzkonform handeln, sondern dies im Zweifel auch nachweisen können. Wer Daten aus Business-Netzwerken verarbeitet, braucht ein nachvollziehbares Datenschutzkonzept.

4. Warum Business-Netzwerke anders zu bewerten sind als Freizeitplattformen

Für die rechtliche Bewertung ist außerdem relevant, auf welchem Netzwerk die Daten erhoben werden.

Bei LinkedIn und XING geht es gerade um berufliche Sichtbarkeit, Karriereoptionen, Netzwerken und Recruiting. Das unterscheidet solche Plattformen von rein privaten oder freizeitbezogenen sozialen Netzwerken. Diese berufliche Ausrichtung kann bei der Interessenabwägung zugunsten einer Verarbeitung sprechen.

Das bedeutet aber nicht, dass jede Form des automatisierten Auslesens zulässig wäre. Vielmehr steigt damit nur die Chance, dass sich ein berechtigtes Interesse plausibel begründen lässt.

5. Der richtige Ausgangspunkt für Unternehmen

Wer Recruiting-Scraping rechtlich bewerten will, sollte nicht mit der Frage beginnen, wie viel technisch machbar ist. Die richtige Reihenfolge lautet:

  1. Zweck sauber definieren
  2. Rechtsgrundlage prüfen
  3. Umfang der Daten strikt begrenzen
  4. Informations-, Lösch- und Widerspruchsprozesse festlegen
  5. Risiken dokumentieren und nachweisbar beherrschen

Erst danach sollte über Tools, Automatisierung und operative Abläufe gesprochen werden.

6. Fazit

Recruiting-Scraping auf LinkedIn und XING ist rechtlich nicht unproblematisch. Es fällt regelmäßig in den Anwendungsbereich der DSGVO und verlangt eine saubere Prüfung von Zweck, Rechtsgrundlage, Verhältnismäßigkeit und Transparenz.

Die entscheidende Frage ist deshalb nicht, ob Daten öffentlich sind, sondern ob ihre automatisierte Verarbeitung im konkreten Fall gerechtfertigt ist.

  1. Vgl. dazu: LG Itzehoe, Urteil vom 09.03.2023 - 10 O 87/22, Rn. 18 – juris; die Daten sind entgegen einer in der Literatur vertretenen Auffassung öffentlich, da eine Anmeldung in sozialen Netzwerken kostenfrei und schnell durchzuführen ist, sodass sie keine ausreichende Hürde darstellt, vgl. dazu ArbRAktuell 2017, 185 (186), anders: Forst, NZA 2010, 427, 431. ↩︎

  2. BeckOK DatenschutzR/Schantz, 48. Ed. 1.11.2021, DSGVO Art. 5, Rn. 5, 8. ↩︎

  3. BeckOK DatenschutzR/Wolff, 48. Ed. 1.11.2021, DSGVO Art. 5 Rn. 393, BeckOK DatenschutzR/Schantz, 48. Ed. 1.11.2021, DS-GVO, Art. 5 Rn. 8. ↩︎

Weitere Artikel dieser Serie

Teil 1: Rechtmäßigkeit von einem Scraping von personenbezogenen Daten zur unternehmensbezogenen Suche von Arbeitnehmern
Teil 2: Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO
Teil 3: Datenminimierung, Transparenz, Löschung: Diese rechtlichen Pflichten sind nicht zu unterschätzen.
Teil 4: Schadensersatz und Haftung: Wo Scraping rechtlich besonders riskant wird
Teil 5: Ein kurzer Ausblick auf die Praxis
Annika S. Zierhut
Annika S. Zierhut
Juristin, LL.B., Recht, Technologie und KI