1. Rechtliche Grundlagen: DSGVO und BDSG
Die Verarbeitung von Bewerberdaten unterliegt in Deutschland vor allem:
- der Datenschutz-Grundverordnung (DSGVO)
- dem Bundesdatenschutzgesetz (BDSG), insbesondere § 26 BDSG
Bewerberdaten gelten als personenbezogene Daten, teilweise sogar als besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten, Schwerbehinderung, Religionszugehörigkeit). Entsprechend hoch sind die Schutzanforderungen.
Grundsatz: Bewerberdaten dürfen nur verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.
2. Zweckbindung und Datensparsamkeit
Ein zentrales Prinzip der DSGVO ist die Zweckbindung. Das bedeutet:
- Daten dürfen nur für den Bewerbungsprozess erhoben werden.
- Eine spätere Nutzung (z. B. Talentpool) ist nur mit gesonderter Einwilligung erlaubt.
Ebenso gilt der Grundsatz der Datenminimierung:
- Erfassen Sie nur Daten, die wirklich notwendig sind.
- Pflichtfelder im Online-Bewerbungsformular sollten kritisch geprüft werden.
- Angaben wie Familienstand, Geburtsdatum oder Foto sind meist nicht erforderlich.
3. Transparenz: Informationspflichten erfüllen
Bewerber müssen gemäß Art. 13 DSGVO transparent informiert werden, unter anderem über:
- den Verantwortlichen für die Datenverarbeitung
- den Zweck und die Rechtsgrundlage der Verarbeitung
- die Speicherdauer
- Empfänger der Daten (z. B. externe Recruiter, Softwareanbieter)
- ihre Rechte (Auskunft, Löschung, Widerruf etc.)
Diese Informationen sollten in einer Datenschutzerklärung für Bewerber klar und verständlich bereitgestellt werden – idealerweise direkt im Online-Bewerbungsprozess verlinkt.
4. Bewerbermanagementsysteme und Auftragsverarbeitung
Viele Unternehmen nutzen externe E-Recruiting- oder ATS-Systeme (Applicant Tracking Systems). Dabei handelt es sich in der Regel um Auftragsverarbeitung nach Art. 28 DSGVO.
Wichtig ist daher:
- Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Anbieter
- Prüfung, wo die Daten verarbeitet werden (EU / Drittland)
- Sicherstellung geeigneter technischer und organisatorischer Maßnahmen (TOMs)
Bei Cloud-Anbietern außerhalb der EU sind zusätzliche Anforderungen (z. B. Standardvertragsklauseln) zu beachten.
5. Active Sourcing und Social Media Recruiting
Beim Active Sourcing über LinkedIn, XING oder andere Plattformen ist besondere Vorsicht geboten:
- Nur beruflich relevante Informationen dürfen verwendet werden.
- Private Social-Media-Profile (z. B. Facebook, Instagram) sind tabu.
- Bewerber müssen spätestens beim Erstkontakt über die Datenverarbeitung informiert werden.
Das „Vorratssammeln“ von Profilen ohne konkreten Zweck ist datenschutzrechtlich problematisch.
6. Einwilligung: Wann ist sie notwendig?
Nicht jede Datenverarbeitung im Bewerbungsprozess benötigt eine Einwilligung. Häufig ist § 26 BDSG ausreichend. Eine Einwilligung ist jedoch erforderlich, wenn:
- Bewerbungsunterlagen länger gespeichert werden sollen (Talentpool)
- Daten an andere Konzerngesellschaften weitergegeben werden
- besondere Daten freiwillig abgefragt werden
Wichtig:
Einwilligungen müssen freiwillig, informiert und widerrufbar sein. Eine Kopplung an die Bewerbung ist unzulässig.
7. Speicherdauer und Löschung von Bewerberdaten
Ein häufiger Fehler im E-Recruiting ist die zu lange Speicherung von Bewerberdaten.
Empfehlung:
- Bei Absagen: Löschung nach max. 6 Monaten (wegen AGG-Nachweis)
- Bei Einstellungen: Überführung relevanter Daten in die Personalakte
- Bei Talentpools: Speicherung nur mit Einwilligung und klar definierter Dauer
Automatisierte Löschkonzepte im Bewerbermanagementsystem sind sinnvoll und empfehlenswert.
8. Datensicherheit im E-Recruiting
Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, z. B.:
- verschlüsselte Datenübertragung (HTTPS)
- rollenbasierte Zugriffskonzepte
- Protokollierung von Zugriffen
- Schulung von HR-Mitarbeitenden
- sichere Videokonferenz-Tools für Online-Interviews
Datenschutz ist hier eng mit IT-Sicherheit verbunden.
9. Rechte der Bewerber ernst nehmen
Bewerber haben umfangreiche Rechte, darunter:
- Auskunft über gespeicherte Daten
- Berichtigung falscher Angaben
- Löschung oder Einschränkung der Verarbeitung
- Widerruf von Einwilligungen
Unternehmen sollten interne Prozesse definieren, um diese Anfragen fristgerecht (innerhalb eines Monats) zu beantworten.
Fazit
E-Recruiting bietet viele Vorteile, bringt aber auch erhebliche datenschutzrechtliche Verantwortung mit sich. Wer frühzeitig klare Prozesse, transparente Informationen und datenschutzkonforme Tools einsetzt, minimiert Risiken und stärkt zugleich das Vertrauen der Bewerber.
Datenschutz ist damit kein Hindernis, sondern ein Qualitätsmerkmal moderner Personalarbeit.
(Autor: Datenschutz Frick mit Hilfe durch ChatGPT)
