DSGVO & Compliance

DSGVO im Recruiting 2026: Die wichtigsten Pflichten für Agenturen

9. Mai 2026 ShortSelect Team · Redaktion 9 Min.
DSGVO Datenschutz Recruiting Compliance AVV Betroffenenrechte

Die wichtigsten DSGVO-Pflichten für Recruiting-Agenturen im Jahr 2026 lassen sich auf vier Bereiche eindampfen: eine saubere Rechtsgrundlage für die Verarbeitung von Bewerberdaten, ein Auftragsverarbeitungsvertrag mit jedem eingesetzten Dienstleister, dokumentierte Löschfristen und ein funktionierender Prozess für Betroffenenrechte. Wer diese vier Punkte im Griff hat, hat den Kern der Datenschutz-Konformität abgedeckt. Dieser Beitrag ordnet die Pflichten qualitativ ein und ersetzt keine Rechtsberatung, sondern gibt Agenturen eine Orientierung, worauf es ankommt.

Hinweis: Dieser Artikel dient der Information und stellt keine Rechtsberatung dar. Für die konkrete Ausgestaltung im Einzelfall sollte eine Datenschutzbeauftragte oder eine spezialisierte Kanzlei hinzugezogen werden.

Warum tragen Agenturen ein besonderes Datenschutzrisiko?

Eine Personalberatung verarbeitet nicht ihre eigenen Mitarbeiterdaten, sondern die Daten fremder Bewerber, im Auftrag fremder Firmen, oft für viele Mandate gleichzeitig. Damit steigt das Risiko in drei Richtungen: Die Datenmenge ist groß, die Daten sind sensibel (Lebensläufe enthalten oft Angaben, die auf Gesundheit, Herkunft oder Weltanschauung schließen lassen), und die Verantwortlichkeiten sind verteilt zwischen Agentur und Auftraggeber.

Genau diese Konstellation macht Recruiting-Agenturen zu einem geprüften Feld für Aufsichtsbehörden. Ein sauberes Datenschutz-Setup ist deshalb kein Nice-to-have, sondern schützt die Agentur vor Bußgeldern, Abmahnungen und, fast wichtiger, vor dem Vertrauensverlust bei Kandidaten und Kunden. Wie sich das technisch abbilden lässt, zeigt der Überblick zu Compliance-Funktionen im ATS.

Auf welcher Rechtsgrundlage dürfen Bewerberdaten verarbeitet werden?

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Im Recruiting kommen praktisch zwei Grundlagen in Betracht: die Anbahnung eines Beschäftigungsverhältnisses und die Einwilligung der betroffenen Person.

Für die konkrete Bewerbung auf eine ausgeschriebene Stelle stützt sich die Verarbeitung in der Regel auf die Anbahnung. Wer sich bewirbt, willigt implizit ein, dass seine Daten für dieses Verfahren genutzt werden. Das deckt aber nur genau diese Bewerbung ab.

Für alles darüber hinaus braucht es meist eine ausdrückliche Einwilligung. Will die Agentur einen Kandidaten in ihren Talentpool aufnehmen, ihn also über das aktuelle Mandat hinaus für künftige Stellen vorhalten, ist dafür eine informierte, freiwillige und dokumentierte Einwilligung nötig. Dasselbe gilt, wenn ein Kandidat, der sich für Kunde A beworben hat, auch Kunde B vorgeschlagen werden soll. Diese Zweckbindung ist eine der häufigsten Fallen: Daten, die für einen Zweck erhoben wurden, dürfen nicht ungefragt für einen anderen genutzt werden. Wie ernst dieses Thema gerade bei KI-Auswertung wird, beleuchtet unser Leitfaden zum DSGVO-konformen Recruiting-CRM.

Was regelt der Auftragsverarbeitungsvertrag nach Art. 28?

Sobald eine Agentur einen externen Dienstleister einsetzt, der in ihrem Auftrag personenbezogene Daten verarbeitet, etwa einen Software-Anbieter, der die Bewerberdaten hostet, braucht sie mit diesem einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Der AVV regelt, dass der Dienstleister die Daten nur nach Weisung verarbeitet, sie angemessen schützt und nach Auftragsende löscht oder zurückgibt.

Für die Agentur heißt das doppelt hinsehen: Einerseits ist sie selbst oft Auftragsverarbeiterin für ihre Kunden und muss mit diesen einen AVV schließen. Andererseits ist ihr Software-Anbieter ihre eigene Auftragsverarbeiterin, mit der wiederum ein AVV nötig ist. Diese Kette muss lückenlos sein. Ein seriöser DSGVO-konformer Recruiting-CRM-Anbieter stellt einen AVV standardmäßig bereit und legt offen, wo die Daten gehostet werden. EU-Hosting ist dabei kein Detail, sondern erspart die aufwendige Rechtfertigung von Drittlandtransfers.

Wie lange dürfen Bewerberdaten gespeichert werden?

Der Grundsatz der Speicherbegrenzung verlangt, dass Daten nur so lange aufbewahrt werden, wie der Zweck es erfordert. Für abgelehnte Bewerber hat sich in der Praxis eine Aufbewahrung von einigen Monaten nach Abschluss des Verfahrens etabliert, um mögliche Ansprüche etwa nach dem Allgemeinen Gleichbehandlungsgesetz abwehren zu können. Nach diesem Zeitraum sind die Daten grundsätzlich zu löschen, sofern keine Einwilligung für eine längere Speicherung vorliegt.

Wichtig: Die genaue Frist ist kein starrer Wert, sondern eine Abwägung, die dokumentiert sein sollte. Wer einen Kandidaten mit dessen Einwilligung im Talentpool hält, muss diese Einwilligung regelmäßig überprüfen und die Daten löschen, wenn sie widerrufen wird oder der Zweck entfällt. Ein System, das Löschfristen automatisch überwacht und Kandidaten zur Auffrischung der Einwilligung anschreibt, nimmt der Agentur diese fehleranfällige Handarbeit ab. Der Grundsatz Datenschutz by Design bedeutet genau das: Die Software sorgt im Hintergrund dafür, dass die Fristen eingehalten werden, statt sich auf Erinnerungen zu verlassen.

Welche Betroffenenrechte muss eine Agentur bedienen?

Jede betroffene Person hat Rechte, die die Agentur innerhalb der gesetzlichen Fristen erfüllen muss, in der Regel binnen eines Monats. Die wichtigsten im Recruiting-Kontext:

Auskunft (Art. 15): Ein Kandidat darf erfragen, welche Daten über ihn gespeichert sind, zu welchem Zweck und wie lange. Die Agentur muss diese Auskunft vollständig und verständlich geben können, was nur funktioniert, wenn die Daten pro Person auffindbar an einem Ort liegen.

Berichtigung (Art. 16): Falsche Daten müssen korrigiert werden.

Löschung (Art. 17): Auf Verlangen und bei entfallenem Zweck sind Daten zu löschen. Das muss die Software zuverlässig und vollständig können, auch über verknüpfte Datensätze hinweg.

Widerspruch und Widerruf: Eine erteilte Einwilligung kann jederzeit widerrufen werden, mit Wirkung für die Zukunft. Der Kandidat fliegt dann aus dem Talentpool.

Der praktische Kern all dieser Rechte ist derselbe: Die Agentur muss zu jeder Person schnell und vollständig Auskunft geben, korrigieren oder löschen können. Das gelingt nur mit einem System, in dem die Daten sauber strukturiert und pro Person zusammengeführt sind, nicht in verstreuten Tabellen, Postfächern und Notizzetteln. Welche technischen und organisatorischen Maßnahmen dahinterstehen, fasst die Übersicht zur Sicherheit und Datenverarbeitung zusammen.

Wie automatisierte Auswertung 2026 einzuordnen ist

Mit dem breiten Einsatz von KI im Recruiting kommt eine zusätzliche Sorgfaltspflicht hinzu. Werden Kandidaten automatisiert bewertet oder vorsortiert, muss transparent bleiben, nach welchen Kriterien das geschieht, und ausschließlich automatisierte Entscheidungen mit rechtlicher Wirkung unterliegen besonderen Anforderungen. Praktisch heißt das für Agenturen: Eine KI darf vorschlagen und vorsortieren, aber der Mensch trifft die Entscheidung, und die Bewertung muss nachvollziehbar sein. Ein erklärbarer Score, den ein Recruiter dem Kandidaten und dem Kunden begründen kann, ist hier nicht nur gutes Handwerk, sondern eine Frage der Rechtssicherheit.

Häufige Fragen

Braucht jede Recruiting-Agentur einen AVV mit ihrem Software-Anbieter?

Ja. Sobald ein externer Anbieter Bewerberdaten im Auftrag der Agentur verarbeitet, etwa durch Hosting im ATS, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht. Seriöse Anbieter stellen ihn standardmäßig bereit und legen den Hosting-Standort offen.

Wie lange dürfen Daten abgelehnter Bewerber gespeichert werden?

Nur so lange, wie der Zweck es erfordert. In der Praxis werden Bewerberdaten häufig einige Monate nach Verfahrensende aufbewahrt, um mögliche Ansprüche abwehren zu können, und danach gelöscht, sofern keine Einwilligung für eine längere Speicherung vorliegt. Die konkrete Frist sollte dokumentiert und mit einer Datenschutzberatung abgestimmt werden.

Darf ein Kandidat von Kunde A einfach Kunde B vorgeschlagen werden?

Nicht ohne Weiteres. Die Daten wurden für einen bestimmten Zweck erhoben, und die Zweckbindung erlaubt keine freie Weiterverwendung. Für eine Vorstellung bei einem anderen Kunden oder die Aufnahme in den Talentpool ist in der Regel eine ausdrückliche, dokumentierte Einwilligung des Kandidaten nötig.

Bereit, Stellen doppelt so schnell zu besetzen ?

Testen Sie 14 Tage kostenlos, wie ShortSelect Ihre Pipeline füllt. Keine Kreditkarte erforderlich.

14 Tage kostenlos Keine Kreditkarte Jederzeit kündbar