1. Warum Datenschutz im Recruiting so wichtig ist
Bewerbungsunterlagen gehören zu den sensibelsten Daten, die ein Unternehmen verarbeitet. Name, Adresse, Lebenslauf, Zeugnisse, Gehaltsvorstellungen, manchmal sogar Gesundheitsinformationen oder Fotos — all das landet in Ihrem Postfach oder Bewerbermanagement-System. Und all das unterliegt der DSGVO. Nicht irgendwann, nicht vielleicht — sondern ab dem ersten Kontakt.
Die Realität in vielen kleinen und mittelständischen Unternehmen sieht anders aus: Bewerbungen landen in persönlichen E-Mail-Postfächern, werden an Fachabteilungen weitergeleitet, in Excel-Listen erfasst und nach dem Verfahren einfach vergessen. Was harmlos klingt, kann teuer werden: Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes sind keine theoretische Drohkulisse, sondern geltendes Recht.
Doch es geht nicht nur um Bußgelder. Datenschutz im Recruiting ist ein Vertrauensfaktor. Bewerber, die spüren, dass ihr Arbeitgeber sorgfältig mit ihren Daten umgeht, fassen schneller Vertrauen. Umgekehrt gilt: Wer Bewerberdaten nachlässig behandelt, schädigt seine Arbeitgebermarke — und das spricht sich in Zeiten von Kununu und Glassdoor schnell herum.
Achtung: Die DSGVO gilt ab dem ersten Kontakt
Sobald ein Bewerber eine E-Mail sendet, ein Formular ausfüllt oder seinen Lebenslauf hochlädt, verarbeiten Sie personenbezogene Daten im Sinne der DSGVO. Das gilt auch für Initiativbewerbungen, Empfehlungen durch Mitarbeiter und Kontaktaufnahmen über LinkedIn oder XING.
2. Rechtsgrundlage: Wann dürfen Sie Bewerberdaten verarbeiten?
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Im Recruiting sind zwei Normen zentral: § 26 BDSG (Beschäftigtendatenschutz) und Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung bzw. vorvertragliche Maßnahmen).
§ 26 Abs. 1 BDSG erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten — und dazu zählen ausdrücklich auch Bewerber — wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Das bedeutet: Alles, was Sie brauchen, um eine fundierte Einstellungsentscheidung zu treffen, dürfen Sie verarbeiten. Alles, was darüber hinausgeht, nicht.
Was ist erlaubt?
- Name, Kontaktdaten und Anschreiben verarbeiten
- Lebenslauf und Zeugnisse sichten und speichern
- Qualifikationen mit den Stellenanforderungen abgleichen
- Bewerbungsgespräche führen und Notizen dazu anfertigen
- Referenzen einholen — aber nur mit Einwilligung des Bewerbers
Was ist nicht erlaubt?
- Gesundheitsdaten erheben, die nicht stellenrelevant sind
- Private Social-Media-Profile systematisch auswerten
- Daten an Dritte weitergeben ohne Rechtsgrundlage
- Bewerberdaten für andere Zwecke nutzen (z. B. Werbung)
- Daten unbegrenzt speichern „für den Fall, dass mal eine passende Stelle kommt“
Aktive Bewerber vs. Talent Pool
Für aktive Bewerber auf eine konkrete Stelle ist § 26 BDSG Ihre Rechtsgrundlage. Sobald das Verfahren beendet ist und Sie den Bewerber für künftige Stellen vormerken möchten (Talent Pool), brauchen Sie eine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Diese muss freiwillig, informiert und dokumentiert sein — und der Bewerber muss sie jederzeit widerrufen können.
Praxistipp: Einwilligung für den Talent Pool
Integrieren Sie direkt im Bewerbungsformular eine separate Checkbox: „Ich bin damit einverstanden, dass meine Daten für zukünftige Stellenangebote für [Zeitraum] gespeichert werden.“ Vergessen Sie nicht, die Einwilligung regelmäßig (z. B. jährlich) zu erneuern.
3. Die wichtigsten Pflichten im Überblick
Die DSGVO definiert klare Pflichten für jeden, der personenbezogene Daten verarbeitet. Im Recruiting-Kontext sind sieben Pflichten besonders relevant. Die folgende Tabelle gibt Ihnen einen kompakten Überblick:
| Pflicht | Was genau? | Wann? | Konsequenz bei Verstoß |
|---|---|---|---|
| Informationspflicht (Art. 13/14) | Datenschutzhinweis bei Bewerbung bereitstellen | Vor oder bei der Datenerhebung | Bußgeld bis 20 Mio. € |
| Zweckbindung | Daten nur für die Stellenbesetzung nutzen | Gesamter Prozess | Bußgeld, Unterlassung |
| Datensparsamkeit | Nur notwendige Daten erheben | Bei der Erhebung | Bußgeld |
| Speicherbegrenzung | Löschung nach Zweckerfüllung | Nach Absage oder Einstellung | Bußgeld |
| Auskunftsrecht (Art. 15) | Bewerber kann Auskunft über gespeicherte Daten verlangen | Innerhalb von 1 Monat | Bußgeld |
| Löschrecht (Art. 17) | Bewerber kann Löschung seiner Daten verlangen | Innerhalb von 1 Monat | Bußgeld |
| Datensicherheit (Art. 32) | Technische und organisatorische Maßnahmen umsetzen | Dauerhaft | Bußgeld, Haftung |
Jede dieser Pflichten gilt unabhängig von der Unternehmensgröße. Ob Sie zehn oder zehntausend Bewerbungen pro Jahr erhalten — die Anforderungen sind identisch. Was sich unterscheidet, ist der Aufwand: Je mehr Bewerbungen, desto wichtiger werden automatisierte Prozesse und ein professionelles Bewerbermanagement-System.
4. Löschfristen: Wann müssen Bewerberdaten gelöscht werden?
Die Frage nach der Löschfrist ist die mit Abstand häufigste im Kontext DSGVO und Recruiting — und sie lässt sich nicht mit einer einzelnen Zahl beantworten, denn es kommt auf die Situation an.
Aufbewahrungsfristen im Überblick
Nach einer Absage
Die allgemein akzeptierte Aufbewahrungsfrist nach einer Absage beträgt sechs Monate. Dieser Zeitraum orientiert sich an der Klagefrist des Allgemeinen Gleichbehandlungsgesetzes (AGG): Ein abgelehnter Bewerber hat nach § 15 Abs. 4 AGG zwei Monate Zeit, seine Ansprüche geltend zu machen. Die daran anschließende gerichtliche Durchsetzung kann weitere Monate dauern. Sechs Monate gelten daher als sicherer Puffer.
Nach Ablauf dieser Frist müssen Sie alle Bewerberdaten löschen — E-Mails, Lebensläufe, Zeugnisse, Interviewnotizen, Bewertungsbögen. Und zwar vollständig, nicht nur aus dem aktiven System, sondern auch aus E-Mail-Postfächern, Cloud-Speichern und Papierakten.
Häufiger Fehler: „Vergessene“ Bewerbungen
Die größte Gefahr sind nicht die Daten im Bewerbermanagement-System, sondern die Kopien: E-Mails an Fachabteilungen, ausgedruckte Lebensläufe, Dateien auf lokalen Festplatten. Stellen Sie sicher, dass alle Beteiligten wissen, wann und wo gelöscht werden muss.
Bei erfolgreicher Einstellung
Wird ein Bewerber eingestellt, ändern sich die Spielregeln. Die Bewerbungsunterlagen werden Teil der Personalakte und unterliegen dann den Aufbewahrungsfristen für Beschäftigtendaten. Der Lebenslauf, das Anschreiben und die Zeugnisse dürfen übernommen werden. Interviewnotizen und Bewertungsbögen anderer Kandidaten müssen hingegen weiterhin nach sechs Monaten gelöscht werden.
Talent Pool und Initiativbewerbungen
Möchten Sie Bewerberdaten über die sechs Monate hinaus speichern — etwa für einen Talent Pool — brauchen Sie eine ausdrückliche, informierte Einwilligung des Bewerbers. Diese muss konkret angeben, wie lange die Daten gespeichert werden (z. B. zwölf Monate) und zu welchem Zweck.
Wichtig: Erneuern Sie die Einwilligung vor Ablauf des genannten Zeitraums. Reagiert der Bewerber nicht, müssen Sie löschen. Gleiches gilt, wenn der Bewerber seine Einwilligung widerruft — dann müssen Sie die Daten unverzüglich entfernen.
5. Die Datenschutzerklärung im Bewerbungsprozess
Art. 13 DSGVO verpflichtet Sie, Bewerber zum Zeitpunkt der Datenerhebung über die Verarbeitung ihrer Daten zu informieren. Das bedeutet: Bevor jemand seine Bewerbung abschickt, muss er wissen, was mit seinen Daten passiert.
Was muss die Datenschutzerklärung enthalten?
- Name und Kontaktdaten des Verantwortlichen (Ihr Unternehmen)
- Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
- Zweck der Datenverarbeitung (Durchführung des Bewerbungsverfahrens)
- Rechtsgrundlage (§ 26 BDSG, Art. 6 Abs. 1 lit. b DSGVO)
- Empfänger der Daten (z. B. Personalabteilung, Fachabteilung, ggf. Dienstleister)
- Speicherdauer (z. B. sechs Monate nach Verfahrensende)
- Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Widerspruch, Beschwerde)
- Hinweis auf Freiwilligkeit der Bewerbung
Wo platzieren?
Es gibt mehrere Möglichkeiten, die alle zulässig sind: direkt im Bewerbungsformular als Pflichtlink, auf der Karriereseite als eigener Abschnitt, oder als Anhang in einer automatischen Bestätigungs-E-Mail. Wichtig ist, dass der Bewerber die Information vor oder bei Abgabe seiner Bewerbung erhält — nicht erst danach.
Praxistipp: Automatische Eingangsbestätigung
Richten Sie eine automatische Bestätigungs-E-Mail ein, die bei jedem Bewerbungseingang versendet wird. Darin enthalten: Dank für die Bewerbung, voraussichtliche Rückmeldedauer und — ganz wichtig — der Link zu Ihren Datenschutzhinweisen für Bewerber.
Übrigens: Auch bei Bewerbungen per E-Mail greift die Informationspflicht. Wenn Sie keine automatische Bestätigung haben, müssen Sie spätestens in Ihrer manuellen Antwort auf die Datenschutzhinweise verweisen. Am einfachsten ist es, den Link dauerhaft in Ihre E-Mail-Signatur zu integrieren oder auf der Karriereseite prominent zu platzieren.
6. Häufige DSGVO-Verstöße im Recruiting
Die meisten Datenschutzverstöße im Recruiting passieren nicht aus böser Absicht, sondern aus Unwissenheit oder Bequemlichkeit. Hier sind die sechs häufigsten Fehler — und wie Sie es besser machen.
Bewerbungen per E-Mail weiterleiten
„Schau dir mal den Lebenslauf an“ — eine unverschlüsselte Weiterleitung per E-Mail ist der Klassiker. Damit verteilen Sie personenbezogene Daten unkontrolliert im Unternehmen. Jeder Empfänger hat eine Kopie, die nirgendwo dokumentiert ist und später nicht zuverlässig gelöscht wird.
Besser: Nutzen Sie ein zentrales Bewerbermanagement-System mit Zugriffsrechten. So sieht jeder nur die Daten, die er für seine Rolle braucht, und Sie behalten die Kontrolle über alle Kopien.
Daten in Excel-Listen ohne Schutz
Excel ist kein Bewerbermanagement-System. Eine Tabelle auf einem geteilten Netzlaufwerk, in der Namen, E-Mail-Adressen und Bewertungen stehen, ist ein Datenschutzrisiko: kein Zugriffslog, keine automatische Löschung, keine Verschlüsselung, keine Nachvollziehbarkeit.
Besser: Wenn Sie noch kein ATS haben, schützen Sie die Datei mindestens mit einem Passwort, schränken Sie den Zugriff auf die nötigsten Personen ein und setzen Sie sich einen Kalender-Reminder für die Löschung nach sechs Monaten.
Keine Löschung nach dem Verfahren
Der häufigste Verstoß überhaupt: Bewerbungsunterlagen werden einfach vergessen. Sie liegen in Ordnern, E-Mail-Archiven oder auf dem Desktop — manchmal jahrelang. Ohne einen definierten Löschprozess ist das vorprogrammiert. Legen Sie fest, wer wann was löscht, und automatisieren Sie diesen Prozess so weit wie möglich.
Social-Media-Recherche über Bewerber
Googeln Sie Bewerber? Schauen Sie sich deren Instagram-Profil an? Das ist datenschutzrechtlich heikel. Berufliche Netzwerke wie LinkedIn oder XING dürfen Sie nutzen, da diese Daten bewusst für berufliche Zwecke veröffentlicht wurden. Private Netzwerke wie Facebook, Instagram oder TikTok sind tabu — es sei denn, die Informationen sind öffentlich zugänglich und stellenrelevant (z. B. bei Social-Media-Managern).
Besser: Beschränken Sie sich auf die Informationen, die der Bewerber Ihnen freiwillig zur Verfügung stellt, plus berufliche Netzwerke. Dokumentieren Sie, welche Quellen Sie nutzen, und nehmen Sie dies in Ihre Datenschutzerklärung auf.
Fotos ohne Einwilligung speichern
Viele Bewerber fügen ihren Unterlagen ein Foto bei. Das dürfen Sie im Rahmen des Bewerbungsverfahrens verwenden. Was Sie nicht dürfen: Das Foto in eine öffentliche Datenbank übernehmen, auf internen Präsentationen zeigen oder nach Verfahrensende behalten. Ohne ausdrückliche Einwilligung ist das ein Verstoß gegen das Recht am eigenen Bild und die DSGVO.
Praxisrelevant: Bußgeldrisiko
Im Jahr 2024 verhängte die Berliner Datenschutzaufsichtsbehörde ein Bußgeld von 215.000 Euro gegen ein Unternehmen, das Bewerberdaten systematisch ohne Löschkonzept gespeichert hatte. Der Grund: Über 2.000 Bewerbungen lagen teilweise mehrere Jahre im System — ohne Rechtsgrundlage und ohne Einwilligung.
7. DSGVO-konformes Bewerbermanagement in der Praxis
Theorie ist das eine, Umsetzung das andere. Die folgende Checkliste hilft Ihnen, die wichtigsten Maßnahmen systematisch anzugehen:
Checkliste: DSGVO im Recruiting
- Datenschutzerklärung für Bewerber erstellen und auf der Karriereseite verlinken
- Automatische Eingangsbestätigung mit Datenschutzhinweis einrichten
- Löschfristen definieren: 6 Monate nach Absage, sofort bei Widerruf
- Zugriffsrechte beschränken: Nur beteiligte Personen sehen Bewerberdaten
- Keine unverschlüsselten E-Mail-Weiterleitungen von Bewerbungsunterlagen
- Talent-Pool-Einwilligung separat einholen und regelmäßig erneuern
- Verzeichnis der Verarbeitungstätigkeiten um Recruiting-Prozess ergänzen
- Mitarbeiter schulen, die am Bewerbungsprozess beteiligt sind
- Auftragsverarbeitungsverträge (AVV) mit Dienstleistern abschließen
Wie ein ATS beim Datenschutz hilft
Ein Bewerbermanagement-System (Applicant Tracking System) ist kein Luxus — es ist die einfachste Lösung, um DSGVO-Anforderungen systematisch zu erfüllen. Statt Bewerbungen über E-Mail, Excel und geteilte Ordner zu verteilen, laufen alle Daten durch einen zentralen, kontrollierten Kanal.
Ein gutes ATS bietet Ihnen: zentrale Datenhaltung mit Zugriffsrechten, automatische Löscherinnerungen oder automatische Löschung nach Fristablauf, dokumentierte Einwilligungen, ein Auskunfts-Feature für Bewerberanfragen und eine lückenlose Protokollierung aller Zugriffe.
„Datenschutz im Recruiting ist kein Bürokratie-Monster. Mit dem richtigen System erledigt sich der Großteil automatisch — und Sie können sich auf das konzentrieren, was wirklich zählt: die besten Kandidaten finden.“
— Daniel Werner, Geschäftsführer HR Rocket GmbH
BewerberSuite wurde genau für diese Anforderungen entwickelt: Das System läuft auf deutschen Servern, speichert Daten DSGVO-konform und unterstützt Sie bei der Einhaltung von Löschfristen, der Dokumentation von Einwilligungen und der Verwaltung von Zugriffsrechten — kostenlos und ohne versteckte Kosten.
8. Fazit: Datenschutz als Vertrauensbasis
DSGVO-konformes Recruiting ist kein Hindernis — es ist ein Qualitätsmerkmal. Unternehmen, die sorgfältig mit Bewerberdaten umgehen, signalisieren Professionalität, Respekt und Verlässlichkeit. In Zeiten, in denen Fachkräfte sich ihren Arbeitgeber aussuchen können, ist das ein echter Wettbewerbsvorteil.
Die wichtigsten Punkte auf einen Blick: Informieren Sie Bewerber über die Datenverarbeitung, bevor Sie Daten erheben. Verarbeiten Sie nur, was für die Stellenbesetzung erforderlich ist. Löschen Sie Daten spätestens sechs Monate nach der Absage. Holen Sie Einwilligungen ein, wenn Sie Daten länger aufbewahren möchten. Und nutzen Sie ein zentrales System, das Ihnen die Einhaltung dieser Regeln erleichtert.
Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Schulen Sie Ihre Mitarbeiter regelmäßig, überprüfen Sie Ihre Prozesse und passen Sie sie an neue Anforderungen an. So schaffen Sie eine Recruiting-Kultur, in der Vertrauen keine leere Worthülse ist, sondern gelebte Praxis.