Sourcing auf LinkedIn: wie man es richtig macht (DSGVO und technisch)
Sourcing auf LinkedIn hat zwei Ebenen, die man trennen muss: die rechtliche (DSGVO) und die technische (Herunterladen von Profilen). Rechtlich geht es beim Sourcing (Sie sprechen den Kandidaten an, nicht er Sie) zuerst um das Einholen seiner menschlichen Zustimmung – also der Antwort auf die Frage „Bist du damit einverstanden, dass wir dich in das Recruiting für diese Stelle aufnehmen?". Diese gibt Ihnen die Grundlage, sich auf das berechtigte Interesse zu stützen und die Informationspflicht zu erfüllen; beim Sourcing ist es zudem sinnvoll, gleich eine formale DSGVO-Einwilligung für die konkrete Stelle einzuholen. Technisch gilt, dass LinkedIn sich gegen Automatisierungen wehrt – legitim ist ein vom Menschen gesteuertes Plugin, aber auch so müssen Sie das tägliche Limit heruntergeladener Lebensläufe beachten, das LinkedIn selbst hält. Dieser Artikel ist keine Rechtsberatung; jedes Unternehmen sollte das Vorgehen von seinem eigenen Anwalt genehmigen lassen.
1. Rechtliche Ebene: Einwilligung und Rechtsgrundlage
Es gibt mehrere rechtliche Auslegungen, und sie unterscheiden sich auch je nach Kontext – die amerikanische sieht es anders, die europäische anders. Bevor wir uns darauf einlassen, klären wir zwei verschiedene Bedeutungen des Wortes „Einwilligung", denn sie werden verwechselt, und darin liegt der ganze Kern:
- Menschliche Zustimmung – die einfache Frage „Bist du damit einverstanden, dass wir dich in das Recruiting für Stelle X aufnehmen?". Das ist kein rechtliches Institut, es ist Höflichkeit und ein praktischer erster Schritt.
- DSGVO-Einwilligung – die formale Einwilligung in die Verarbeitung personenbezogener Daten nach der DSGVO. Eine eigenständige Rechtsgrundlage, die sich jederzeit widerrufen lässt.
Im europäischen Kontext holen Sie beim Sourcing zuerst diese menschliche Zustimmung ein. Erst dann hat es Sinn, den Kandidaten zu speichern – und Sie haben etwas, worauf Sie die Rechtsgrundlage aufbauen können.
Wie das praktisch aussehen sollte
Auf LinkedIn sprechen Sie einen Kandidaten per Nachricht an und bieten ihm eine Stelle an. In dem Moment, in dem er antwortet, dass er Interesse hat, hat er Ihnen die menschliche Zustimmung gegeben, ihn in den Prozess aufzunehmen. Erst jetzt speichern Sie seine Daten – und stützen sich dabei auf das berechtigte Interesse.
Erfüllen Sie aber vor allem die Informationspflicht: Weil Sie die Daten von LinkedIn beziehen und nicht direkt vom Kandidaten, gilt Artikel 14 DSGVO, und Sie müssen ihn spätestens innerhalb eines Monats informieren, oder schon bei der ersten Ansprache – je nachdem, was früher eintritt.
Beim Sourcing ist es zudem sinnvoll, auch eine formale DSGVO-Einwilligung in die Verarbeitung für diese konkrete Stelle einzuholen. Das berechtigte Interesse lässt sich nämlich am natürlichsten dort heranziehen, wo der Kandidat selbst aktiv auf Ihre Stelle antwortet (Inbound). Beim Sourcing ist es umgekehrt – Sie sprechen ihn an – daher ist eine formale Einwilligung hier angebracht.
Übliche Praxis und ein häufiger Irrtum
Die Realität ist meist anders: Der Recruiter will Kandidaten zuerst sourcen, eine Longlist erstellen, sie mit dem Manager durchgehen und erst die Shortlist ansprechen und hinzufügen. Das lösen Recruiter heute üblicherweise in Excel. Aber Achtung:
Ob Sie einen Kandidaten in Excel oder im ATS speichern, macht aus Sicht Ihrer Pflichten bei der Verarbeitung seiner personenbezogenen Daten keinen Unterschied.
Und noch ein Irrtum: Manche behaupten, ein Kandidat gebe dadurch, dass er in einem beruflichen Netzwerk ist, seine Einwilligung, mit Stellenangeboten angesprochen zu werden. Verwechseln Sie aber nicht die Einwilligung, die der Kandidat LinkedIn zur Nutzung seines Netzwerks gibt, mit den Pflichten Ihres Unternehmens, personenbezogene Daten zu verarbeiten. Das sind zwei verschiedene Dinge, und man kann sie nicht vermischen.
„Befristete Einwilligung" im ATS: ein Kompromiss, nicht der reine Wortlaut
Disclaimer: So etwas wie eine „befristete Einwilligung" gibt es aus rechtlicher Sicht nicht. Die Regel lautet: erst die Einwilligung, dann die Verarbeitung. Wenn Sie aber nicht den absolut saubersten Weg gehen wollen und zugleich nicht nur blind Kandidatendaten ins ATS kopieren und sich in den Daten Unordnung schaffen wollen, ist es eine bessere Variante, als Kandidaten nebenbei in Excel mit doppelter Erfassung zu führen.
Wie es funktioniert: Das ATS richtet Ihnen die Möglichkeit ein, die Daten eines Kandidaten nur für eine begrenzte Zeit aufzubewahren – zum Beispiel 14 Tage, einen Monat, zwei. In dieser Zeit bitten Sie den Kandidaten um eine legitime Einwilligung in die Verarbeitung personenbezogener Daten.
- Wenn Sie die Einwilligung erhalten, bekommt der Kandidat im System die volle DSGVO-Einwilligung – genauso wie bei jeder anderen Antwort, bei der Sie eine Einwilligung über das Auswahlverfahren hinaus erhalten haben.
- Wenn Sie sie nicht erhalten, erfolgt eine vollständige, unumkehrbare Anonymisierung seiner personenbezogenen Daten – genau wie, wenn die Einwilligung etwa nach zwei Jahren oder nach Abschluss des Auswahlverfahrens abläuft.
Nach dem reinen Wortlaut der DSGVO ist das nicht das Sauberste, aber es ist eine Kombination aus üblicher Praxis mit dem Ziel, dass Kandidatendaten nicht langfristig ohne Einwilligung aufbewahrt werden. Eine solche Lösung lassen Sie sich von Ihrem Unternehmensjuristen genehmigen.
Die Beweislast liegt bei Ihnen. Wie bei den Steuern müssen Sie nachweisen, dass Sie die Einwilligung erhalten haben – nicht die Behörde, dass Sie sie nicht hatten.
Unternehmen, die sich nicht darum kümmern, riskieren ein Bußgeld und eine Kontrolle, bei der sie nachweisen müssen, dass sie die Einwilligung vom Kandidaten erhalten haben. Und sie können es nicht.
Verwandte Funktionen: DSGVO-Compliance · Eigene Dauer der Einwilligung · Hinweis vor Ablauf der Einwilligung · Automatische Anonymisierung
2. Technische Ebene: wie man ein Profil überhaupt herunterlädt
LinkedIn versucht, Automatisierungen und Plugins zu verhindern, die seine Daten herunterladen. Wenn Ihnen also jemand eine vollständige Automatisierung des Profil-Downloads anbietet, riskieren Sie die Sperrung des Accounts.
Es gibt Tools, die das „schlau" machen – sie überwachen die Geschwindigkeit des Durchklickens von Profilen und ahmen menschliches Verhalten nach, sodass sie für LinkedIn schwerer zu entdecken sind und keine Sperrung drohen muss. Das ändert aber nichts daran, dass es sich um eine Grauzone handelt.
Wie ein ehrliches Plugin funktioniert
Ein Plugin, das keinen autonomen Teil hat – also nicht selbst Profile durchgeht – tut nur dies: Auf der Seite eines Kandidaten findet es für Sie die Kontaktdaten und die Nachrichten, die Sie sich schreiben, füllt sie in das Formular des Plugins vor und schickt sie über die API ins ATS. Es tut nichts Verbotenes, sodass Ihnen von seiner Seite keine Entdeckung droht.
Das entscheidende Risiko: das tägliche Limit heruntergeladener Lebensläufe
Trotzdem kann Ihnen eine Sperrung drohen – in dem Moment, in dem Sie eine größere Datenmenge herunterladen. Typischerweise, wenn Sie bei einem Kandidaten auf Lebenslauf herunterladen klicken (also sein Profil in ein PDF umwandeln). Jeder Account, einschließlich Recruiter-Account und Sales Navigator, hat ein tägliches Limit heruntergeladener Lebensläufe. Wenn Sie es überschreiten, sperrt LinkedIn Sie.
Dieses Limit gilt unabhängig davon, ob Sie manuell oder per Plugin herunterladen. Sie können Ihren Account auch ganz ohne Plugin sperren.
Deshalb ermöglicht Ihnen ein gutes Plugin, das automatische Herunterladen von Lebensläufen abzuschalten. Die Kontakte der Kandidaten können Sie dann ruhig in Hunderten übertragen – was Sie etwa bei Technologieunternehmen nutzen, wo das Volumen entscheidend ist – und den Lebenslauf selbst nur auf Anforderung herunterladen, mit einem Klick bei einem konkreten Kandidaten.
Verwandte Funktionen: Plugin für LinkedIn · Übernahme von Nachrichten aus LinkedIn · KI-Sourcing auf LinkedIn
Diesen Leitfaden gibt Recruitis.io heraus, ein europäischer ATS. Wie wir das Sourcing aus LinkedIn lösen:
- Ein vom Menschen gesteuertes Plugin, kein autonomer Bot – es füllt die Kontakte und Nachrichten aus dem Profil vor und schickt sie über die API ins ATS.
- Abschalten des automatischen Herunterladens von Lebensläufen: Sie laden nur Kontakte herunter und wandeln den Lebenslauf nur auf Anforderung in ein PDF um – damit Sie das tägliche Limit von LinkedIn nicht berühren.
- DSGVO-Automatisierung: eigene Dauer der Einwilligung, Überwachung ihres Ablaufs und automatische Anonymisierung nach Ablauf.
Ganz offen: Das Plugin überwacht selbst keine Limits von LinkedIn – das liegt auf der Seite von LinkedIn. Und dieser Artikel ist keine Rechtsberatung. Wie Sie das Sourcing und den Umgang mit Einwilligungen genau einrichten, lassen Sie sich von Ihrer eigenen Rechtsabteilung beurteilen.
Häufige Fragen
Darf ich einen Kandidaten von LinkedIn ohne seine Einwilligung im ATS speichern?
Es gibt mehrere rechtliche Auslegungen, und sie unterscheiden sich je nach Kontext. Unterscheiden Sie zwei Bedeutungen des Wortes Einwilligung. Die menschliche Zustimmung ist die Frage, ob du damit einverstanden bist, dass wir dich in das Recruiting für Stelle X aufnehmen – also ein praktischer erster Schritt, kein rechtliches Institut. Die DSGVO-Einwilligung ist die formale Einwilligung in die Verarbeitung personenbezogener Daten. Beim Sourcing holen Sie zuerst diese menschliche Zustimmung ein: Sie sprechen den Kandidaten an, und er zeigt Interesse. Erst dann speichern Sie ihn und stützen sich auf das berechtigte Interesse. Erfüllen Sie vor allem die Informationspflicht nach Artikel 14 DSGVO, denn Sie beziehen die Daten von LinkedIn und nicht direkt vom Kandidaten – informieren Sie ihn also spätestens innerhalb eines Monats oder bei der ersten Ansprache. Beim Sourcing ist es zudem sinnvoll, auch eine formale DSGVO-Einwilligung für die konkrete Stelle einzuholen, weil sich das berechtigte Interesse am natürlichsten dort heranziehen lässt, wo der Kandidat selbst aktiv auf eine Stelle antwortet, während beim Sourcing Sie ihn ansprechen. Achtung vor einem häufigen Irrtum: Die Einwilligung, die der Kandidat LinkedIn zur Nutzung des Netzwerks gibt, ist nicht dasselbe wie die Pflicht Ihres Unternehmens, personenbezogene Daten nach der DSGVO zu verarbeiten. Und ob Sie den Kandidaten in Excel oder im ATS speichern, macht aus Sicht Ihrer Pflichten keinen Unterschied. Die Beweislast liegt bei Ihnen: Sie müssen nachweisen, dass Sie die Einwilligung erhalten haben. Dies ist keine Rechtsberatung; lassen Sie sich das Vorgehen von Ihrem eigenen Anwalt genehmigen.
Was ist eine befristete Einwilligung beim Sourcing von Kandidaten?
So etwas wie eine befristete Einwilligung gibt es aus rechtlicher Sicht nicht; die Regel lautet: erst die Einwilligung, dann die Verarbeitung. Es handelt sich um einen Kompromiss, den manche ATS als bessere Variante anbieten, als Kandidaten nebenbei in Excel zu führen. Er funktioniert so, dass das System die Daten des Kandidaten nur für eine begrenzte Zeit aufbewahrt, etwa 14 Tage bis zwei Monate, und Sie den Kandidaten in dieser Zeit um eine legitime Einwilligung in die Verarbeitung personenbezogener Daten bitten. Wenn Sie die Einwilligung erhalten, bekommt der Kandidat im System die volle DSGVO-Einwilligung. Wenn Sie sie nicht erhalten, erfolgt eine vollständige, unumkehrbare Anonymisierung seiner personenbezogenen Daten, genauso wie wenn die Einwilligung etwa nach zwei Jahren oder nach Abschluss des Auswahlverfahrens abläuft. Nach dem reinen Wortlaut der DSGVO ist das nicht die sauberste Lösung, und es ist ratsam, sie vom Unternehmensjuristen genehmigen zu lassen.
Droht beim Herunterladen von Profilen aus LinkedIn eine Sperrung des Accounts?
Ja, das kann sein. LinkedIn wehrt sich gegen Automatisierungen, daher bedeutet eine vollständige Automatisierung des Profil-Downloads ein Sperrrisiko. Ein ehrliches, vom Menschen gesteuertes Plugin, das nicht selbst Profile durchgeht und nur Kontakte und Nachrichten aus einem geöffneten Profil vorausfüllt und über die API ins ATS schickt, tut nichts Verbotenes, und von seiner Seite droht keine Entdeckung. Eine Sperrung kann aber beim Herunterladen einer größeren Datenmenge kommen, typischerweise beim Herunterladen des Lebenslaufs, also der Umwandlung des Profils in ein PDF. Jeder Account, einschließlich Recruiter-Account und Sales Navigator, hat ein tägliches Limit heruntergeladener Lebensläufe, und dessen Überschreitung führt zur Sperrung, unabhängig davon, ob Sie manuell oder per Plugin herunterladen. Deshalb ermöglicht ein gutes Plugin, das automatische Herunterladen von Lebensläufen abzuschalten, damit Sie nur Kontakte übertragen und Lebensläufe nur auf Anforderung herunterladen.
Wie funktioniert das Übertragen von Kandidaten aus LinkedIn ins ATS?
Vollständig automatisiertes Scraping von Profilen erlaubt LinkedIn nicht; Tools, die eine unbegrenzte automatische Erfassung versprechen, handeln gegen die Regeln des Netzwerks und riskieren die Sperrung des Accounts. Der legitime Weg ist ein vom Menschen gesteuertes Browser-Plugin: Der Recruiter öffnet ein Profil und überträgt es mit einem Klick ins ATS – es ist kein autonomer Bot. Das entscheidende Risiko liegt bei LinkedIn selbst, und zwar in Form des Limits für die Anzahl heruntergeladener Lebensläufe pro Account und Tag; bei dessen Überschreitung drohen eine vorübergehende Einschränkung oder die Sperrung des Accounts. Ein gutes Tool hilft dabei, zum Beispiel indem es das automatische Herunterladen von Lebensläufen abschalten lässt, sodass nur das Profil selbst übertragen wird und Sie das Limit nicht berühren. Fragen Sie den Anbieter deshalb nicht nur, ob er LinkedIn beherrscht, sondern vor allem, wie er es löst und welche Risiken das für Ihre Accounts birgt.