1. Home
  2. Datenschutzverstoß beim...
DataAgenda

Datenschutzverstoß beim Online-Recruiting

Online Recruiting Datenschutzhinweis Transparenz

Informationspflicht bei Datenerhebung aus Drittquellen

Werden personenbezogene Daten nicht direkt bei der betroffenen Person erhoben, sondern aus Drittquellen wie öffentlich einsehbaren Profilen, greift die strengere Informationspflicht des Art. 14 DS-GVO statt der milderen Regelung des Art. 13 DS-GVO. Verantwortliche müssen der betroffenen Person dann von sich aus mitteilen, woher die Daten stammen, zu welchem Zweck sie verarbeitet werden und auf welcher Rechtsgrundlage dies geschieht – unabhängig davon, ob danach gefragt wird. Bei Nutzung der Daten zur Kontaktaufnahme muss dies gemäß Art. 14 Abs. 3 lit. b DS-GVO spätestens mit der ersten Mitteilung an die betroffene Person erfolgen. Die Vorschrift hat besonderes Gewicht, weil Betroffene bei Erhebung aus Drittquellen oft gar nichts von der Verarbeitung wissen und ihre Rechte erst wahrnehmen können, wenn sie überhaupt davon erfahren.

Öffentlich zugänglich heißt nicht frei verwendbar

Ein zweiter, häufig missverstandener Punkt betrifft die Reichweite öffentlich zugänglicher Daten: Die bloße Sichtbarkeit von Kontaktdaten auf einer Plattform begründet keine stillschweigende Zustimmung zu deren werblicher Nutzung. Die faktische Zugänglichkeit von Daten ist strikt von ihrer rechtmäßigen Verwendbarkeit zu trennen – Art. 6 Abs. 1 DS-GVO verlangt für jede Verarbeitung, auch zu Werbezwecken, eine eigenständige Rechtsgrundlage. Maßgeblich ist dabei der Kontext, in dem die Daten ursprünglich bereitgestellt wurden: Wer ein Profil zu einem klar umrissenen, nicht-kommerziellen Zweck veröffentlicht, muss nicht mit Kontaktaufnahmen zu fremden geschäftlichen Zwecken rechnen. Diese berechtigte Erwartungshaltung ist im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f DS-GVO zu berücksichtigen.

Konkreter Fall

Genau diese beiden Aspekte adressiert ein Fall aus dem Tätigkeitsbericht 2025 der LDA Brandenburg: Eine auf IT-Fachkräfte spezialisierte Personalvermittlungsagentur hatte Name und E-Mail-Adresse eines Nutzers von dessen Profil auf einer Plattform für den Austausch zu Softwareprojekten übernommen und ihn unaufgefordert mit Stellenangeboten kontaktiert. Die LDA stellte fest, dass weder eine Einwilligung noch überwiegende berechtigte Interessen des Verantwortlichen vorlagen, da der Nutzer die Plattform erkennbar privat nutzte. Zudem fehlten in den Werbe-E-Mails sämtliche nach Art. 14 DS-GVO erforderlichen Angaben zu Herkunft, Zweck und Rechtsgrundlage der Datenverarbeitung. Wegen dieser und weiterer Verstöße, unter anderem gegen die Frist zur Beantwortung eines Auskunftsersuchens nach Art. 12 Abs. 3 DS-GVO, sprach die Behörde gemäß Art. 58 Abs. 2 lit. b DS-GVO eine Verwarnung aus.

(Foto: InfiniteFlow – stock.adobe.com)

Letztes Update:30.06.26

Das könnte Sie auch interessieren

  • Backup Strategie Ransomware

    Ransomware-Angriff: Mangelhafte Datensicherung führt zu Totalverlust

    Der aktuelle Tätigkeitsbericht 2025 der Landesbeauftragten für den Datenschutz Brandenburg (LDA) dokumentiert einen abgeschlossenen Fall (S. 47), der die Grenzen rein formaler Backup-Konzepte verdeutlicht: Eine Arztpraxis meldete der Aufsichtsbehörde nach Art. 33 DS-GVO eine Datenschutzverletzung infolge eines Ransomware-Angriffs. Betroffen waren rund 75 Gigabyte medizinischer und administrativer Daten von über 8.000 Patientinnen und Patienten. Ein Datenabfluss

    Mehr erfahren
  • Interne Revision und Datenschutz

    Datenschutz, Informationssicherheit und KI als integriertes Prüffeld der Internen Revision

    Der DIIR-Arbeitskreis „Datenschutz & Data Governance“ hat seinen bewährten Leitfaden zur Internen Revision und Datenschutz sowie die begleitende Checkliste zur Prüfung der Datenschutzorganisation grundlegend überarbeitet und als Version 3.0 veröffentlicht. Beide Dokumente reagieren auf die erheblich veränderten regulatorischen und technologischen Rahmenbedingungen der letzten Jahre. Erweiterter Themenrahmen: KI und Informationssicherheit neu integriert Datenschutz ist längst kein

    Mehr erfahren
  • Social Media Policy Behörde öffentliche Stelle

    Social Media: LfDI aktualisiert Handlungsrahmen

    Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) hat seinen Handlungsrahmen für die Nutzung von Social Media durch öffentliche Stellen in aktualisierter Fassung veröffentlicht. Das Dokument trägt der gewachsenen Realität Rechnung, dass Plattformen wie Facebook, TikTok oder X längst zu regulären Kommunikationskanälen von Behörden geworden sind — und schafft dafür klare datenschutzrechtliche Leitplanken.

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner