DSGVO & Compliance

DSGVO im Recruiting: Was HR-Teams wirklich beachten müssen

25. Juni 2024 ShortSelect Team · Redaktion 9 Min.
DSGVO Datenschutz Compliance Bewerberdaten

Warum DSGVO im Recruiting so wichtig ist

Recruiting ist Datenverarbeitung. Jeder Lebenslauf, jedes Bewerbungsfoto, jede Notiz aus einem Vorstellungsgespräch — all das sind personenbezogene Daten im Sinne der Datenschutz-Grundverordnung. Und trotzdem behandeln viele HR-Teams Bewerberdaten noch immer erstaunlich sorglos: Lebensläufe werden per E-Mail weitergeleitet, in lokalen Ordnern gespeichert, jahrelang aufbewahrt und nie gelöscht.

Das ist nicht nur ein Compliance-Problem — es ist ein Risiko. Seit Inkrafttreten der DSGVO im Mai 2018 können Verstöße mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden. Und die Aufsichtsbehörden schauen inzwischen genauer hin, gerade im HR-Bereich.

Dieser Guide erklärt praxisnah, was HR-Teams und Recruiter wirklich beachten müssen — ohne juristischen Fachjargon, aber mit konkreten Handlungsempfehlungen.

Rechtsgrundlagen: Wann dürfen Sie Bewerberdaten verarbeiten?

Die DSGVO verlangt für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Im Recruiting kommen vor allem drei Rechtsgrundlagen in Frage:

Art. 6 Abs. 1 lit. b DSGVO — Vertragsanbahnung

Die wichtigste Rechtsgrundlage im Bewerbungskontext. Wenn ein Kandidat sich auf eine Stelle bewirbt, ist die Verarbeitung seiner Daten zur Durchführung vorvertraglicher Maßnahmen erlaubt. Das umfasst: Lebenslauf lesen, Qualifikationen prüfen, Vorstellungsgespräche führen, Zu- oder Absage erteilen.

Diese Rechtsgrundlage gilt allerdings nur für die konkrete Stelle, auf die sich der Kandidat beworben hat — und nur für den Zeitraum des Bewerbungsverfahrens (plus einer angemessenen Aufbewahrungsfrist danach).

Art. 88 DSGVO i.V.m. § 26 BDSG — Beschäftigtendatenschutz

Das Bundesdatenschutzgesetz (BDSG) konkretisiert die DSGVO für den Beschäftigtenkontext in Deutschland. § 26 Abs. 1 BDSG erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten — und dazu zählen auch Bewerber —, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.

In der Praxis bedeutet das: Sie dürfen alle Daten verarbeiten, die für die Beurteilung der Eignung eines Bewerbers notwendig sind. Sie dürfen aber nicht wahllos zusätzliche Informationen erheben — etwa durch das systematische Durchsuchen von Social-Media-Profilen ohne konkreten stellenbezogenen Anlass.

Art. 6 Abs. 1 lit. a DSGVO — Einwilligung

Für alles, was über die konkrete Bewerbung hinausgeht, brauchen Sie eine ausdrückliche Einwilligung. Das betrifft insbesondere:

  • Aufnahme in einen Talent Pool für zukünftige Stellen
  • Weitergabe der Bewerbung an andere Abteilungen oder Konzerngesellschaften
  • Speicherung über die übliche Aufbewahrungsfrist hinaus

Wichtig: Die Einwilligung muss freiwillig, informiert, spezifisch und unmissverständlich sein. Ein vorausgefülltes Häkchen im Bewerbungsformular reicht nicht aus. Der Bewerber muss aktiv zustimmen und jederzeit widerrufen können, ohne Nachteile für sein Bewerbungsverfahren befürchten zu müssen.

Einwilligungsmanagement: So machen Sie es richtig

Die Einwilligung ist im Recruiting-Kontext ein zweischneidiges Schwert. Einerseits ist sie oft die einzige Rechtsgrundlage für bestimmte Verarbeitungen (Talent Pool, Weiterleitung an Dritte). Andererseits stehen Aufsichtsbehörden Einwilligungen im Beschäftigungskontext kritisch gegenüber, weil das Machtverhältnis zwischen Arbeitgeber und Bewerber eine wirklich „freiwillige" Einwilligung fraglich erscheinen lässt.

Anforderungen an eine wirksame Einwilligung

  1. Freiwilligkeit: Der Bewerber darf keine Nachteile befürchten, wenn er nicht einwilligt. Die Einwilligung zur Aufnahme in den Talent Pool darf nicht Voraussetzung für die Bewerbung sein.
  2. Informiertheit: Der Bewerber muss wissen, worin er einwilligt: Welche Daten, zu welchem Zweck, wie lange, an wen weitergegeben?
  3. Bestimmtheit: „Ich willige in die Verarbeitung meiner Daten ein" ist zu unbestimmt. Besser: „Ich willige ein, dass mein Bewerbungsprofil für 12 Monate im Talent Pool der Firma X GmbH gespeichert und für passende Stellenangebote kontaktiert werde."
  4. Widerrufbarkeit: Der Bewerber muss seine Einwilligung jederzeit widerrufen können — genauso einfach, wie er sie erteilt hat. Ein Link oder eine E-Mail-Adresse reichen.

Praxis-Beispiel für eine Talent-Pool-Einwilligung:

„Ich möchte, dass die Firma X GmbH mein Bewerbungsprofil (Name, Kontaktdaten, Lebenslauf, Qualifikationen) für maximal 12 Monate in ihrem Talent Pool speichert und mich bei passenden Stellenangeboten kontaktiert. Ich kann diese Einwilligung jederzeit per E-Mail an [email protected] oder über mein Bewerberprofil widerrufen."

Löschfristen: Die 6-Monats-Regel

Eine der häufigsten Fragen im Recruiting-Datenschutz: Wie lange darf man Bewerberdaten aufbewahren? Die Antwort ist überraschend klar.

Nach Absage: Maximal 6 Monate

Nach einer Absage dürfen Bewerberdaten noch für einen angemessenen Zeitraum aufbewahrt werden — in der Praxis haben sich sechs Monate als Standard etabliert. Der Grund: Nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) können abgelehnte Bewerber innerhalb von zwei Monaten nach Zugang der Absage Ansprüche wegen Diskriminierung geltend machen. Die Klagefrist beträgt weitere drei Monate. Mit einem Sicherheitspuffer ergibt sich die branchenübliche Frist von sechs Monaten.

Automatische Löschung einrichten

Die Löschung muss nicht manuell erfolgen — und sollte es auch nicht. Manuelle Löschprozesse sind fehleranfällig und werden in der Praxis oft vergessen. Ein DSGVO-konformes ATS wie ShortSelect bietet automatische Löschfristen: Sie definieren einmalig den Zeitraum (z. B. 6 Monate nach letzter Statusänderung), und das System löscht die Daten automatisch — oder erinnert Sie vorab, falls eine Einwilligung zur längeren Speicherung vorliegt.

Löschfristen-Übersicht

  • Aktives Bewerbungsverfahren: Daten dürfen verarbeitet werden, solange das Verfahren läuft.
  • Nach Absage (ohne Einwilligung): Löschung nach maximal 6 Monaten.
  • Nach Absage (mit Talent-Pool-Einwilligung): Speicherung gemäß Einwilligung (üblich: 12 Monate), danach Löschung oder erneute Einwilligung einholen.
  • Nach Einstellung: Bewerbungsdaten werden Teil der Personalakte und unterliegen den Aufbewahrungspflichten für Beschäftigte.

Auskunftsrecht: Was Bewerber fragen dürfen — und was Sie antworten müssen

Nach Art. 15 DSGVO hat jede betroffene Person das Recht, Auskunft über die zu ihrer Person gespeicherten Daten zu verlangen. Im Recruiting bedeutet das: Jeder Bewerber — ob aktiv im Verfahren oder längst abgesagt — kann Sie fragen, welche Daten Sie über ihn gespeichert haben.

Was muss die Auskunft umfassen?

  1. Ob personenbezogene Daten verarbeitet werden
  2. Welche Daten konkret gespeichert sind (Kategorien und konkrete Daten)
  3. Zu welchem Zweck die Verarbeitung erfolgt
  4. An wen die Daten weitergegeben wurden (z. B. andere Abteilungen, externe Dienstleister)
  5. Wie lange die Daten gespeichert werden
  6. Welche Rechte der Betroffene hat (Berichtigung, Löschung, Widerspruch)

Fristen beachten

Sie müssen die Auskunft unverzüglich erteilen, spätestens innerhalb eines Monats nach Eingang der Anfrage. In besonders komplexen Fällen kann die Frist um zwei weitere Monate verlängert werden — aber Sie müssen den Bewerber innerhalb des ersten Monats über die Verlängerung und deren Gründe informieren.

Praxis-Tipp: Richten Sie in Ihrem ATS einen Export-Mechanismus ein, der alle zu einem Bewerber gespeicherten Daten auf Knopfdruck in einem maschinenlesbaren Format (z. B. JSON oder PDF) exportiert. Das spart bei Auskunftsersuchen enorm viel Zeit.

Auftragsverarbeitung: Wenn Dritte Bewerberdaten verarbeiten

Sobald Sie ein ATS, ein HR-Tool oder einen Cloud-Dienst für die Bewerberverwaltung nutzen, liegt in der Regel eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Der Anbieter verarbeitet die Bewerberdaten in Ihrem Auftrag — und Sie als Verantwortlicher müssen sicherstellen, dass dies DSGVO-konform geschieht.

Was Sie prüfen müssen

  • Auftragsverarbeitungsvertrag (AVV): Jeder Anbieter, der Bewerberdaten verarbeitet, muss einen AVV mit Ihnen abschließen. Dieser regelt unter anderem Weisungsgebundenheit, technisch-organisatorische Maßnahmen, Unterauftragnehmer und Löschpflichten.
  • Serverstandort: Werden die Daten innerhalb der EU/des EWR gespeichert? Falls nicht, brauchen Sie zusätzliche Garantien (z. B. Standardvertragsklauseln, Angemessenheitsbeschluss).
  • Technisch-organisatorische Maßnahmen (TOMs): Verschlüsselung, Zugriffskontrollen, Backup-Konzepte — der Anbieter muss nachweisen, dass er angemessene Schutzmaßnahmen implementiert hat.
  • Unterauftragnehmer: Nutzt der Anbieter seinerseits Drittanbieter (z. B. AWS, Google Cloud)? Diese müssen im AVV aufgeführt sein.

Praxis-Tipp: Fragen Sie bei der Auswahl eines ATS gezielt nach dem AVV, dem Serverstandort und den TOMs. Seriöse Anbieter stellen diese Informationen proaktiv bereit. ShortSelect etwa speichert alle Daten ausschließlich auf EU-Servern (Frankfurt am Main) und stellt einen AVV standardmäßig zur Verfügung.

Datenschutzhinweise in Stellenanzeigen

Viele Unternehmen vergessen: Die Informationspflicht nach Art. 13 DSGVO greift bereits bei der Stellenanzeige — also bevor der Bewerber überhaupt Daten übermittelt. Sie müssen den Bewerber informieren, bevor er seine Daten eingibt.

Was muss in den Datenschutzhinweisen stehen?

  1. Name und Kontaktdaten des Verantwortlichen (Ihr Unternehmen)
  2. Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
  3. Zweck und Rechtsgrundlage der Verarbeitung (Bewerbungsverfahren, Art. 6 Abs. 1 lit. b DSGVO / § 26 BDSG)
  4. Empfänger der Daten (interne Fachabteilungen, ggf. ATS-Anbieter)
  5. Speicherdauer (z. B. 6 Monate nach Abschluss des Verfahrens)
  6. Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Widerspruch, Beschwerde bei Aufsichtsbehörde)
  7. Freiwilligkeit der Bereitstellung und Folgen der Nichtbereitstellung

In der Praxis empfiehlt es sich, diese Informationen nicht direkt in die Stellenanzeige zu packen (das macht sie unlesbar lang), sondern auf eine separate Datenschutzseite zu verlinken. Achten Sie darauf, dass der Link gut sichtbar ist — nicht erst ganz am Ende im Kleingedruckten.

Häufige Fehler in der Praxis

Fehler 1: Bewerbungen per E-Mail ohne Struktur

Wenn Bewerbungen als E-Mail-Anhänge in verschiedenen Postfächern liegen, haben Sie keine Kontrolle über Zugriff, Weiterleitung und Löschung. Nutzen Sie ein zentrales System mit Zugriffskontrollen und automatischen Löschfristen.

Fehler 2: Keine Löschroutine

„Die Bewerbung liegt noch irgendwo auf dem Server" — das ist ein klassischer DSGVO-Verstoß. Implementieren Sie automatische Löschfristen und dokumentieren Sie die Löschung.

Fehler 3: Weiterleitung ohne Rechtsgrundlage

Wenn ein Bewerber sich bei Abteilung A bewirbt und seine Unterlagen ohne Einwilligung an Abteilung B oder an ein Schwesterunternehmen weitergeleitet werden, ist das ein Verstoß. Holen Sie vorher eine spezifische Einwilligung ein.

Fehler 4: Background Checks ohne Anlass

Das systematische Durchsuchen von Social-Media-Profilen, das Einholen von Schufa-Auskünften oder das Googeln von Bewerbern ist nur zulässig, wenn es einen konkreten, stellenbezogenen Anlass gibt und der Bewerber darüber informiert wurde.

Checkliste: DSGVO-konformes Recruiting

Nutzen Sie diese Checkliste als Orientierung für Ihren eigenen Recruiting-Prozess:

  • Rechtsgrundlage definiert: Für jede Verarbeitung ist eine Rechtsgrundlage dokumentiert (Art. 6 DSGVO / § 26 BDSG).
  • Datenschutzhinweise erstellt: In jeder Stellenanzeige ist ein Link zu den Datenschutzhinweisen für Bewerber vorhanden.
  • Einwilligungen dokumentiert: Talent-Pool-Einwilligungen werden separat eingeholt, dokumentiert und sind jederzeit widerrufbar.
  • Löschfristen eingerichtet: Bewerberdaten werden spätestens 6 Monate nach Absage automatisch gelöscht (ohne Einwilligung zur längeren Speicherung).
  • Auskunftsprozess definiert: Es gibt einen dokumentierten Prozess für Auskunftsersuchen nach Art. 15 DSGVO mit einer Reaktionszeit von maximal einem Monat.
  • Auftragsverarbeitungsvertrag geschlossen: Mit jedem externen Dienstleister (ATS, Cloud-Speicher, E-Mail-Provider) liegt ein AVV vor.
  • Zugriffskontrollen implementiert: Nur autorisierte Personen (Recruiter, Hiring Manager) haben Zugriff auf Bewerberdaten — und nur auf die Daten, die sie für ihre Aufgabe benötigen.
  • Verarbeitungsverzeichnis geführt: Die Verarbeitung von Bewerberdaten ist im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO dokumentiert.
  • Mitarbeiter geschult: Alle am Recruiting-Prozess Beteiligten sind im Umgang mit Bewerberdaten geschult und auf Vertraulichkeit verpflichtet.
  • Datenschutz-Folgenabschätzung geprüft: Bei besonders umfangreicher Verarbeitung (z. B. KI-gestütztes Screening, Videointerviews) ist geprüft, ob eine DSFA nach Art. 35 DSGVO erforderlich ist.

Fazit: DSGVO als Chance begreifen

DSGVO-Compliance im Recruiting ist kein bürokratisches Hindernis — es ist ein Qualitätsmerkmal. Unternehmen, die transparent mit Bewerberdaten umgehen, automatische Löschfristen implementieren und Bewerber aktiv über ihre Rechte informieren, signalisieren Professionalität und Wertschätzung.

Kandidaten merken den Unterschied: Ein Unternehmen, das einen sauberen, transparenten Bewerbungsprozess bietet, hinterlässt einen besseren Eindruck als eines, das Lebensläufe in Shared Drives verstauben lässt und auf Auskunftsersuchen nicht reagiert.

Nutzen Sie ein ATS, das Ihnen die Compliance-Arbeit abnimmt: automatische Löschfristen, dokumentierte Einwilligungen, granulare Zugriffskontrollen und einen Export-Button für Auskunftsersuchen. So können Sie sich auf das konzentrieren, was im Recruiting wirklich zählt — die richtigen Menschen für Ihr Team zu finden.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Bei konkreten datenschutzrechtlichen Fragen wenden Sie sich an Ihren Datenschutzbeauftragten oder einen spezialisierten Rechtsanwalt.

Alle Artikel anzeigen
Weiterlesen

Weitere Artikel

Entdecken Sie mehr zum Thema Recruiting und HR.

DSGVO & Compliance

Entgelttransparenzrichtlinie 2026: Was sich für Ihr Recruiting ändert

Ab 2026 müssen Unternehmen in der EU Gehaltsspannen in Stellenanzeigen angeben. Was das für Ihr Recruiting bedeutet.

17. März 2026 Lesen
DSGVO & Compliance

KI im Recruiting ohne DSGVO-Strategie? Das wird teuer — bis zu 20 Millionen Euro teuer

Sie nutzen KI zum Screening? Automatisierte Entscheidungen über Menschen? Dann brauchen Sie JETZT eine DSGVO-Strategie.

24. März 2025 Lesen
DSGVO & Compliance

Arbeitsrecht im Recruiting: Die 7 häufigsten Fehler und wie Sie sie vermeiden

Eine falsch formulierte Stellenanzeige kann 3 Monatsgehälter Entschädigung kosten. Diese 7 Fehler passieren täglich.

9. Dez. 2024 Lesen

Bereit, Ihr Recruiting zu revolutionieren ?

Starten Sie noch heute Ihre kostenlose 14-Tage-Testversion. Keine Kreditkarte erforderlich.

Jetzt kostenlos testen Demo vereinbaren
14 Tage kostenlos Keine Kreditkarte Jederzeit kündbar