Skip to content
Innopulse Consulting
Navigate
EnglishDeutsch
Get in touch
Contact
info@innopulse.io+41 79 508 28 06
Gotthardstrasse 30, 6300 Zug
Datenschutz & DSGVO

DSGVO im Recruiting: Bewerberdaten rechtssicher verarbeiten

Wie Sie Bewerberdaten DSGVO- und revDSG-konform verarbeiten: Rechtsgrundlage, Aufbewahrungsfristen, Talent-Pool, Tracking-Tools und Auskunftsrechte im Recruiting.

Doruntina Jusaj
Doruntina Jusaj
Marketing Managerin
·3 min read
In this article
  1. Die Rechtsgrundlage
  2. Besondere Kategorien und unaufgeforderte Angaben
  3. Die Aufbewahrungsfrist
  4. Der Talent-Pool braucht Einwilligung
  5. Tools und Auftragsverarbeitung
  6. Auskunftsrechte ernst nehmen
  7. Fazit
  8. Active Sourcing und Profil-Recherche

Recruiting ist für viele wachsende Unternehmen die erste Stelle, an der sie systematisch sensible personenbezogene Daten von Externen verarbeiten — und gleichzeitig die Stelle, an der Datenschutz am häufigsten vernachlässigt wird. Bewerbungsunterlagen landen in E-Mail-Postfächern, werden im Team weitergeleitet und bleiben nach der Absage jahrelang liegen. Jeder dieser Schritte ist datenschutzrechtlich relevant. Dieser Leitfaden ordnet das Bewerbermanagement für DACH-Unternehmen ein.

Die Rechtsgrundlage

Im Bewerbungsprozess verarbeiten Sie Daten zur Anbahnung eines Beschäftigungsverhältnisses. In Deutschland ist die Rechtsgrundlage typischerweise § 26 BDSG bzw. Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Massnahmen), in der Schweiz die entsprechenden Grundsätze des revDSG. Sie brauchen also für die Verarbeitung der eingereichten Bewerbung in der Regel keine separate Einwilligung — der Bewerber hat sie zum Zweck der Bewerbung übermittelt. Eine Einwilligung wird aber relevant, sobald Sie über diesen Zweck hinausgehen, etwa für die Aufnahme in einen Talent-Pool.

Besondere Kategorien und unaufgeforderte Angaben

Bewerber legen häufig mehr offen, als nötig ist — Gesundheitsangaben, Fotos, Angaben zu Religion oder Familienstand. Ein Teil davon fällt unter die besonderen Kategorien nach Art. 9 DSGVO. Der Grundsatz: Fordern Sie diese Daten nicht an und stützen Sie Entscheidungen nicht darauf. Werden sie unaufgefordert mitgeliefert, minimieren Sie ihre Verarbeitung. Ein gut gestaltetes Bewerbungsformular, das nur die wirklich entscheidungsrelevanten Felder abfragt, ist die wirksamste Prävention — es verhindert, dass Sie überhaupt in den Besitz von Daten gelangen, die Sie nicht verarbeiten dürfen.

Die Aufbewahrungsfrist

Die häufigste Sünde im Recruiting ist die unbegrenzte Aufbewahrung. Nach Abschluss des Verfahrens dürfen Bewerberdaten nur so lange gespeichert werden, wie ein berechtigtes Interesse besteht. In Deutschland hat sich an § 15 AGG orientiert eine Aufbewahrung von etwa sechs Monaten nach der Absage etabliert — der Zeitraum, in dem ein abgelehnter Bewerber Ansprüche wegen Diskriminierung geltend machen könnte. Danach sind die Daten zu löschen, sofern der Bewerber nicht einer längeren Speicherung in einem Talent-Pool ausdrücklich zugestimmt hat. In der Schweiz gilt eine vergleichbare Logik der Zweckbindung und Verhältnismässigkeit.

Der Talent-Pool braucht Einwilligung

Möchten Sie eine interessante Bewerbung über das Verfahren hinaus aufbewahren, um die Person bei künftigen Stellen zu kontaktieren, brauchen Sie eine ausdrückliche, dokumentierte Einwilligung. Diese muss freiwillig, informiert und widerrufbar sein und den Zweck sowie die Speicherdauer benennen. Eine pauschale Klausel in der Bewerbungsbestätigung genügt nicht; die Einwilligung sollte separat eingeholt und belegbar sein. Geben Sie der Person zudem einen einfachen Weg, sich später aus dem Pool zu entfernen.

Tools und Auftragsverarbeitung

Die meisten Unternehmen nutzen ein Bewerbermanagementsystem oder zumindest Cloud-Dienste für die Ablage. Jeder externe Dienstleister, der dabei Bewerberdaten verarbeitet, ist Auftragsverarbeiter — Sie brauchen einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Prüfen Sie ausserdem den Datenstandort und etwaige Drittlandübermittlungen. Achten Sie bei Recruiting-Plattformen mit eingebautem Tracking oder KI-gestützter Vorauswahl besonders genau hin: Automatisierte Entscheidungen mit erheblicher Wirkung berühren Art. 22 DSGVO und benötigen menschliche Letztentscheidung sowie Transparenz gegenüber dem Bewerber.

Auskunftsrechte ernst nehmen

Auch abgelehnte Bewerber haben das volle Auskunftsrecht nach Art. 15 DSGVO — einschliesslich der Frage, welche Daten Sie über sie gespeichert haben und an wen sie weitergegeben wurden. Interne Bewertungsnotizen und Gesprächsprotokolle können davon umfasst sein. Formulieren Sie interne Notizen deshalb so, dass sie einer Auskunft standhalten — sachlich, entscheidungsbezogen und frei von unzulässigen Erwägungen. Ein Bewerbermanagement, das von vornherein auskunftsfähig gestaltet ist, erspart im Ernstfall hektisches Nachbearbeiten.

Fazit

DSGVO-konformes Recruiting ist kein Hexenwerk, aber es verlangt bewusste Gestaltung statt gewachsener Praxis. Die vier Hebel mit dem grössten Effekt: ein datensparsames Bewerbungsformular, eine definierte und automatisch durchgesetzte Löschfrist, eine saubere Einwilligung für den Talent-Pool und ein Auftragsverarbeitungsvertrag für jedes eingesetzte Tool. Wer diese vier Punkte aufsetzt und in einem kurzen Recruiting-Datenschutzkonzept dokumentiert, hat den Prozess im Griff — und kann ihn einer Aufsichtsbehörde oder einem Bewerber jederzeit erklären.

Active Sourcing und Profil-Recherche

Mit Active Sourcing — der direkten Ansprache von Kandidaten über Berufsnetzwerke — entsteht eine eigene Datenschutzfrage. Wenn Sie Profile recherchieren, bewerten und speichern, verarbeiten Sie personenbezogene Daten von Personen, die sich nicht bei Ihnen beworben haben. Die Rechtsgrundlage ist hier in der Regel das berechtigte Interesse, das gegen die Interessen der betroffenen Person abzuwägen ist. Beschränken Sie sich auf beruflich relevante, öffentlich zugängliche Informationen, dokumentieren Sie die Quelle und informieren Sie die Person spätestens bei der ersten Kontaktaufnahme transparent darüber, woher Sie ihre Daten haben — die Informationspflicht nach Art. 14 DSGVO greift auch hier.

Setzen Sie Transparenz an den Anfang, nicht ans Ende. Eine kurze, gut auffindbare Datenschutzinformation für Bewerber — was Sie erheben, wozu, wie lange Sie speichern und welche Rechte bestehen — erfüllt nicht nur die Informationspflicht nach Art. 13 DSGVO, sondern signalisiert auch Professionalität. Bewerber achten zunehmend darauf, wie ein Unternehmen mit ihren Daten umgeht; ein sauberer Umgang im Recruiting ist damit auch ein Beitrag zur Arbeitgebermarke und nicht nur eine Pflichterfüllung.

Verankern Sie all das schliesslich in einem schlanken Recruiting-Datenschutzkonzept, das die Verarbeitungstätigkeiten, Rechtsgrundlagen, Fristen und eingesetzten Tools an einer Stelle festhält. Dieses Dokument ist kein Selbstzweck: Es ist die Grundlage, auf der Sie neue Teammitglieder im Recruiting einarbeiten, neue Tools bewerten und im Prüfungsfall Auskunft geben. Ein einmal sauber erstelltes und jährlich überprüftes Konzept verwandelt eine diffuse Sammlung von Einzelpraktiken in einen nachvollziehbaren, verteidigbaren Prozess — und genau diese Nachvollziehbarkeit ist es, die im Datenschutz am Ende zählt.

About the author
Doruntina Jusaj
Doruntina Jusaj
Marketing Managerin · Innopulse Consulting

Marketing Managerin bei Innopulse Consulting. Verantwortet Marke, Content-Strategie und organisches Wachstum über das gesamte Portfolio.

Topics
DSGVO RecruitingBewerberdatenBewerbermanagement DatenschutzTalent-Pool DSGVO
Keep reading

Related insights.

Datenschutz & DSGVO

Datenschutz für Startups: Die pragmatische Aufbau-Checkliste

Datenschutz ohne Konzern-Budget. Die minimal-tragfähige Compliance für ein DACH-Startup: VVT, AVVs, Datenschutzerklärung, technische Massnahmen, in der richtigen Reihenfolge.

Doruntina·5 min
Datenschutz & DSGVO

Löschkonzept und Aufbewahrungsfristen nach DSGVO erstellen

Wie ein praxistaugliches Löschkonzept nach DSGVO aufgebaut ist: Löschklassen, Aufbewahrungsfristen, technische Umsetzung und das Spannungsfeld mit gesetzlichen Pflichten.

Leutrim·3 min
Founder Operations

Hiring in der Schweiz: Rechtlicher Rahmen, Arbeitsvertrag, Kündigung

Erste Anstellung als Schweizer Startup: OR 319+, Arbeitsvertrag, Probezeit, Kündigungsfristen, 13. Monatslohn, Ferien, Überstunden, Konkurrenzverbot.

Leutrim·5 min
Working on something similar?

Let's talk.

If this article maps to a problem you're actively working on, send us a short description — we'll respond with a practical next step.

Get in touch