← Alle Artikel

Wer auf LinkedIn oder XING nach potenziellen Kandidatinnen und Kandidaten sucht, bewegt sich längst nicht mehr nur im klassischen Recruiting. Sobald Profile systematisch ausgelesen, gespeichert, abgeglichen oder angereichert werden, stellt sich eine datenschutzrechtliche Kernfrage: Ist das überhaupt zulässig?

Die kurze Antwort lautet: Pauschal verboten ist es nicht, aber rechtlich nur unter engen Voraussetzungen vertretbar. Genau deshalb lohnt sich ein genauer Blick auf die DSGVO.

Warum Scraping datenschutzrechtlich relevant ist

Viele Unternehmen unterschätzen den Ausgangspunkt. Öffentliche Profile in Business-Netzwerken wirken zunächst wie frei verfügbare Informationen. Juristisch bedeutet „öffentlich sichtbar" aber nicht automatisch „frei nutzbar für jeden beliebigen Zweck".

Sobald personenbezogene Daten automatisiert erfasst und weiterverarbeitet werden, greift die DSGVO. Dazu gehören typischerweise:

  • Name
  • Profilfoto
  • beruflicher Werdegang
  • Kenntnisse und Sprachangaben
  • Wechselbereitschaft oder Recruiting-Signale
  • sonstige Informationen, die eine Person direkt oder indirekt identifizierbar machen

Gerade beim regelmäßigen oder großflächigen Scraping liegt eine automatisierte Verarbeitung personenbezogener Daten vor. Damit beginnt die Prüfung nicht erst bei der Kontaktaufnahme, sondern bereits beim Erfassen, Speichern und Strukturieren der Daten.

„Öffentlich" heißt nicht „beliebig verwertbar"

Ein häufiger Denkfehler lautet: Wenn ein Profil sichtbar ist, darf man die Daten auch automatisiert übernehmen. So einfach ist es nicht.

Öffentliche Sichtbarkeit kann zwar bei der rechtlichen Bewertung eine Rolle spielen. Sie ersetzt aber keine Rechtsgrundlage. Unternehmen müssen daher immer zusätzlich beantworten können:

  1. Zu welchem Zweck werden die Daten verarbeitet?
  2. Welche Daten werden konkret erfasst?
  3. Warum ist genau diese Verarbeitung erforderlich?
  4. Welche Interessen der betroffenen Personen stehen dem entgegen?

Das ist der Punkt, an dem sich zulässige Datennutzung und rechtswidrige Datensammlung voneinander trennen.

Der Kern der Prüfung: DSGVO statt Bauchgefühl

Entscheidend ist nicht, ob Scraping technisch möglich ist. Entscheidend ist, ob die konkrete Verarbeitung mit den Grundprinzipien der DSGVO vereinbar ist.

Dazu zählen insbesondere:

  • Rechtmäßigkeit
  • Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Gerade die Rechenschaftspflicht wird in der Praxis oft übersehen. Unternehmen müssen nicht nur datenschutzkonform handeln, sondern dies im Zweifel auch nachweisen können. Wer also Daten aus Business-Netzwerken verarbeitet, braucht mehr als ein technisches Tool, nämlich ein nachvollziehbares Datenschutzkonzept.

Warum Business-Netzwerke anders zu bewerten sind als Freizeitplattformen

Für die rechtliche Bewertung ist außerdem relevant, auf welchem Netzwerk die Daten erhoben werden.

Bei LinkedIn und XING geht es gerade um berufliche Sichtbarkeit, Karriereoptionen, Netzwerken und Recruiting. Das unterscheidet solche Plattformen von rein privaten oder freizeitbezogenen sozialen Netzwerken. Diese berufliche Ausrichtung kann bei der Interessenabwägung zugunsten einer Verarbeitung sprechen, jedenfalls dann, wenn die Verarbeitung eng auf Recruiting-Zwecke begrenzt bleibt.

Das bedeutet aber nicht, dass jede Form des automatisierten Auslesens zulässig wäre. Vielmehr steigt damit nur die Chance, dass sich ein berechtigtes Interesse plausibel begründen lässt.

Der richtige Ausgangspunkt für Unternehmen

Wer Recruiting-Scraping rechtlich bewerten will, sollte nicht mit der Frage beginnen, wie viel technisch machbar ist. Die richtige Reihenfolge lautet:

  1. Zweck sauber definieren
  2. Rechtsgrundlage prüfen
  3. Umfang der Daten strikt begrenzen
  4. Informations-, Lösch- und Widerspruchsprozesse festlegen
  5. Risiken dokumentieren und nachweisbar beherrschen

Erst danach sollte über Tools, Automatisierung und operative Abläufe gesprochen werden.

Fazit

Recruiting-Scraping auf LinkedIn und XING ist rechtlich kein Selbstläufer. Es fällt regelmäßig in den Anwendungsbereich der DSGVO und verlangt eine saubere Prüfung von Zweck, Rechtsgrundlage, Verhältnismäßigkeit und Transparenz.

Die entscheidende Frage ist deshalb nicht, ob Daten öffentlich sind, sondern ob ihre automatisierte Verarbeitung im konkreten Fall gerechtfertigt werden kann.

Weitere Artikel dieser Serie

Teil 1: Ist Recruiting-Scraping auf LinkedIn und XING zulässig?
Teil 2: Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO: Kann das Recruiting-Scraping tragen?
Teil 3: Datenminimierung, Transparenz, Löschung: Diese DSGVO-Pflichten entscheiden über die Zulässigkeit
Teil 4: AGB, Schadensersatz und Haftung: Wo Recruiting-Scraping rechtlich besonders riskant wird
Teil 5: Praxis-Check: Wann Recruiting-Scraping vertretbar sein kann, und wann nicht
Annika S. Zierhut
Annika S. Zierhut
Juristin, LL.B., Recht, Technologie und KI