Recruiting-CRM und DSGVO
Ein DSGVO-konformes Recruiting-CRM muss fünf Kern-Anforderungen erfüllen: dokumentierte Einwilligung, automatische Löschfristen, einen Auftragsverarbeitungsvertrag (AVV), sichere Verarbeitung mit EU-Hosting und die Umsetzung von Betroffenenrechten wie dem Auskunftsrecht. Diese Seite erklärt jede Anforderung und zeigt, wie ShortSelect sie abdeckt.
Die 5 DSGVO-Anforderungen an ein Recruiting-CRM
Was rechtlich gefordert ist und wie ShortSelect es umsetzt.
1. Rechtsgrundlage und Einwilligung
Im Bewerbungsverfahren stützt sich die Verarbeitung in der Regel auf Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) und § 26 BDSG (Beschäftigtendatenschutz). Für alles darüber hinaus, etwa die Aufnahme in einen Talent Pool, braucht es eine Einwilligung nach Art. 7 DSGVO: freiwillig, dokumentiert und jederzeit widerrufbar.
So löst es ShortSelect: ShortSelect dokumentiert die Rechtsgrundlage pro Kandidat und bringt Einwilligungsmanagement mit Opt-in und Opt-out mit. Für den Talent Pool können Kandidaten per Link der weiteren Speicherung zustimmen (Retention Consent).
2. Löschfristen und Datenminimierung
Bewerberdaten dürfen nicht unbegrenzt gespeichert werden. In der Praxis üblich sind bis zu sechs Monate nach Ende des Bewerbungsverfahrens, weil sich Bewerber in dieser Zeit noch auf Ansprüche nach dem AGG berufen können. Danach müssen die Daten gelöscht werden, außer es liegt eine Einwilligung zur längeren Speicherung vor.
So löst es ShortSelect: In ShortSelect konfigurieren Sie Aufbewahrungsfristen pro Mandant. Nach Ablauf werden Kandidatendaten automatisch gelöscht, ohne manuelle Erinnerungslisten.
3. Auftragsverarbeitungsvertrag (AVV)
Sobald ein Software-Anbieter Bewerberdaten für Sie verarbeitet, ist er Auftragsverarbeiter. Art. 28 DSGVO verlangt dafür einen Auftragsverarbeitungsvertrag, der Gegenstand, Dauer, Art der Daten und die technischen und organisatorischen Maßnahmen regelt.
So löst es ShortSelect: ShortSelect stellt einen AV-Vertrag bereit. Damit ist das Verhältnis zwischen Ihrer Agentur als Verantwortlichem und ShortSelect als Auftragsverarbeiter sauber geregelt.
4. EU-Hosting und Datensicherheit
Art. 32 DSGVO fordert technische und organisatorische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Protokollierung. Ein Server-Standort in der EU vermeidet zusätzlich die rechtlich heiklen Drittlandübermittlungen, etwa in die USA.
So löst es ShortSelect: Alle ShortSelect-Daten liegen auf EU-Servern in Frankfurt. Verschlüsselung mit AES-256 at rest und TLS 1.3 in transit, Mandantentrennung per Row Level Security auf Datenbankebene und ein lückenloser Audit-Trail sind Standard.
5. Betroffenenrechte: Auskunft und Löschung
Bewerber und Kandidaten haben ein Auskunftsrecht (Art. 15 DSGVO) und ein Recht auf Löschung (Art. 17 DSGVO). Ihr Recruiting-CRM muss beides praktisch umsetzbar machen, sonst wird jede Anfrage zur Handarbeit.
So löst es ShortSelect: ShortSelect exportiert alle Daten eines Kandidaten auf Knopfdruck als CSV oder JSON und löscht Datensätze vollständig, wenn ein Kandidat es verlangt.
Hinweis: Diese Seite ist keine Rechtsberatung. Für die Bewertung Ihres konkreten Setups sprechen Sie mit Ihrem Datenschutzbeauftragten.
DSGVO ist kein Bremsklotz, sondern ein Verkaufsargument
Recruiting-Agenturen arbeiten im Auftrag ihrer Kunden mit hochsensiblen Daten. Wer im Pitch belegen kann, dass Kandidatendaten auf EU-Servern liegen, automatisch gelöscht werden und jede Verarbeitung protokolliert ist, gewinnt Vertrauen. Alle technischen Details finden Sie unter DSGVO und Compliance. Und wenn Sie wissen wollen, wie DSGVO-konforme KI-Bewertung funktioniert, lesen Sie ATS mit KI-Matching.
ShortSelect kostet 199 € pro User und Monat oder 1.791 € pro User und Jahr (3 Monate geschenkt), alle Compliance-Funktionen inklusive. Details unter Preise.
Häufige Fragen zu Recruiting-CRM und DSGVO
Was muss ein Recruiting-CRM für die DSGVO erfüllen?
Wie lange darf ich Bewerberdaten speichern?
Brauche ich für mein Recruiting-CRM einen AVV?
Darf ich Kandidaten in einen Talent Pool übernehmen?
Muss mein Recruiting-CRM in der EU gehostet sein?
Ist KI im Recruiting-CRM ein DSGVO-Problem?
Bereit, Stellen doppelt so schnell zu besetzen ?
Testen Sie 14 Tage kostenlos, wie ShortSelect Ihre Pipeline füllt.
Keine Kreditkarte erforderlich.