Datenschutz

Recruiting-CRM und DSGVO

Ein DSGVO-konformes Recruiting-CRM muss fünf Kern-Anforderungen erfüllen: dokumentierte Einwilligung, automatische Löschfristen, einen Auftragsverarbeitungsvertrag (AVV), sichere Verarbeitung mit EU-Hosting und die Umsetzung von Betroffenenrechten wie dem Auskunftsrecht. Diese Seite erklärt jede Anforderung und zeigt, wie ShortSelect sie abdeckt.

Anforderungen

Die 5 DSGVO-Anforderungen an ein Recruiting-CRM

Was rechtlich gefordert ist und wie ShortSelect es umsetzt.

1. Rechtsgrundlage und Einwilligung

Im Bewerbungsverfahren stützt sich die Verarbeitung in der Regel auf Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) und § 26 BDSG (Beschäftigtendatenschutz). Für alles darüber hinaus, etwa die Aufnahme in einen Talent Pool, braucht es eine Einwilligung nach Art. 7 DSGVO: freiwillig, dokumentiert und jederzeit widerrufbar.

So löst es ShortSelect: ShortSelect dokumentiert die Rechtsgrundlage pro Kandidat und bringt Einwilligungsmanagement mit Opt-in und Opt-out mit. Für den Talent Pool können Kandidaten per Link der weiteren Speicherung zustimmen (Retention Consent).

2. Löschfristen und Datenminimierung

Bewerberdaten dürfen nicht unbegrenzt gespeichert werden. In der Praxis üblich sind bis zu sechs Monate nach Ende des Bewerbungsverfahrens, weil sich Bewerber in dieser Zeit noch auf Ansprüche nach dem AGG berufen können. Danach müssen die Daten gelöscht werden, außer es liegt eine Einwilligung zur längeren Speicherung vor.

So löst es ShortSelect: In ShortSelect konfigurieren Sie Aufbewahrungsfristen pro Mandant. Nach Ablauf werden Kandidatendaten automatisch gelöscht, ohne manuelle Erinnerungslisten.

3. Auftragsverarbeitungsvertrag (AVV)

Sobald ein Software-Anbieter Bewerberdaten für Sie verarbeitet, ist er Auftragsverarbeiter. Art. 28 DSGVO verlangt dafür einen Auftragsverarbeitungsvertrag, der Gegenstand, Dauer, Art der Daten und die technischen und organisatorischen Maßnahmen regelt.

So löst es ShortSelect: ShortSelect stellt einen AV-Vertrag bereit. Damit ist das Verhältnis zwischen Ihrer Agentur als Verantwortlichem und ShortSelect als Auftragsverarbeiter sauber geregelt.

4. EU-Hosting und Datensicherheit

Art. 32 DSGVO fordert technische und organisatorische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Protokollierung. Ein Server-Standort in der EU vermeidet zusätzlich die rechtlich heiklen Drittlandübermittlungen, etwa in die USA.

So löst es ShortSelect: Alle ShortSelect-Daten liegen auf EU-Servern in Frankfurt. Verschlüsselung mit AES-256 at rest und TLS 1.3 in transit, Mandantentrennung per Row Level Security auf Datenbankebene und ein lückenloser Audit-Trail sind Standard.

5. Betroffenenrechte: Auskunft und Löschung

Bewerber und Kandidaten haben ein Auskunftsrecht (Art. 15 DSGVO) und ein Recht auf Löschung (Art. 17 DSGVO). Ihr Recruiting-CRM muss beides praktisch umsetzbar machen, sonst wird jede Anfrage zur Handarbeit.

So löst es ShortSelect: ShortSelect exportiert alle Daten eines Kandidaten auf Knopfdruck als CSV oder JSON und löscht Datensätze vollständig, wenn ein Kandidat es verlangt.

Hinweis: Diese Seite ist keine Rechtsberatung. Für die Bewertung Ihres konkreten Setups sprechen Sie mit Ihrem Datenschutzbeauftragten.

DSGVO ist kein Bremsklotz, sondern ein Verkaufsargument

Recruiting-Agenturen arbeiten im Auftrag ihrer Kunden mit hochsensiblen Daten. Wer im Pitch belegen kann, dass Kandidatendaten auf EU-Servern liegen, automatisch gelöscht werden und jede Verarbeitung protokolliert ist, gewinnt Vertrauen. Alle technischen Details finden Sie unter DSGVO und Compliance. Und wenn Sie wissen wollen, wie DSGVO-konforme KI-Bewertung funktioniert, lesen Sie ATS mit KI-Matching.

ShortSelect kostet 199 € pro User und Monat oder 1.791 € pro User und Jahr (3 Monate geschenkt), alle Compliance-Funktionen inklusive. Details unter Preise.

Häufige Fragen zu Recruiting-CRM und DSGVO

Was muss ein Recruiting-CRM für die DSGVO erfüllen?
Fünf Kern-Anforderungen: eine dokumentierte Rechtsgrundlage beziehungsweise Einwilligung pro Kandidat, automatische Löschfristen, einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter, sichere Verarbeitung idealerweise mit EU-Hosting sowie die praktische Umsetzung der Betroffenenrechte wie Auskunft und Löschung.
Wie lange darf ich Bewerberdaten speichern?
Für das laufende Bewerbungsverfahren so lange wie nötig. Nach einer Absage sind in der Praxis bis zu sechs Monate üblich, weil Bewerber in dieser Zeit noch Ansprüche nach dem AGG geltend machen können. Eine längere Speicherung, etwa im Talent Pool, braucht eine ausdrückliche Einwilligung des Kandidaten.
Brauche ich für mein Recruiting-CRM einen AVV?
Ja. Der Software-Anbieter verarbeitet Bewerberdaten in Ihrem Auftrag und ist damit Auftragsverarbeiter nach Art. 28 DSGVO. Ohne Auftragsverarbeitungsvertrag ist der Einsatz nicht DSGVO-konform. ShortSelect stellt einen AV-Vertrag bereit.
Darf ich Kandidaten in einen Talent Pool übernehmen?
Ja, aber nur mit Einwilligung. Der Kandidat muss der Speicherung über das Bewerbungsverfahren hinaus aktiv zustimmen und die Einwilligung jederzeit widerrufen können. ShortSelect bildet das mit einem Zustimmungs-Link ab, den Kandidaten selbst bestätigen.
Muss mein Recruiting-CRM in der EU gehostet sein?
Die DSGVO schreibt keinen EU-Server vor, verlangt aber bei Übermittlungen in Drittländer zusätzliche Garantien. EU-Hosting ist der einfachste und sicherste Weg, dieses Risiko zu vermeiden. ShortSelect hostet alle Daten in Frankfurt.
Ist KI im Recruiting-CRM ein DSGVO-Problem?
Nicht, wenn sie richtig eingesetzt wird: Die KI liefert eine nachvollziehbare Empfehlung, die Entscheidung trifft ein Mensch. Bei ShortSelect arbeitet die KI auf EU-Servern, trainiert nicht auf Kundendaten und jede Bewertung ist pro Kriterium nachvollziehbar.

Bereit, Stellen doppelt so schnell zu besetzen ?

Testen Sie 14 Tage kostenlos, wie ShortSelect Ihre Pipeline füllt. Keine Kreditkarte erforderlich.

14 Tage kostenlos Keine Kreditkarte Jederzeit kündbar