DSGVO für Recruiter: die praktische Version
Du musst kein Jurist sein, um einen DSGVO-konformen Einstellungsprozess zu führen. Du brauchst eine Handvoll richtig gesetzter Standards, einmal festgelegt.
Warum Recruiting-Daten besonders sind
Eine Hiring-Pipeline ist einer der persönlichsten Datenbestände, die ein Unternehmen besitzt: Lebensläufe, Gehaltsvorstellungen, Interviewnotizen, manchmal Details zu Gesundheit oder Familie, die Kandidaten ungefragt von sich aus erzählen. Menschen geben diese Daten in einem verletzlichen Moment her, in der Hoffnung auf einen Job.
Die DSGVO behandelt diese Daten entsprechend, und Kandidaten tun das auch. Ein sorgloser Umgang ist nicht nur ein rechtliches Risiko; es ist genau die Art Geschichte, die die Runde macht. Die praktischen Anforderungen sind allerdings deutlich überschaubarer, als das Kürzel vermuten lässt.
Kenne deine Rechtsgrundlage
Du brauchst einen rechtlichen Grund, um Kandidatendaten zu verarbeiten. Bei einer aktiven Bewerbung ist das einfach: Die Verarbeitung ist nötig, um den Kandidaten für die Stelle zu bewerten, auf die er sich beworben hat. Du brauchst keine Einwilligungs-Checkbox, um den Lebenslauf zu lesen, den dir jemand geschickt hat.
Einwilligung wird an den Rändern wichtig. Einen abgelehnten Kandidaten für künftige Rollen im Talentpool zu behalten, ist ein anderer Zweck als die ursprüngliche Bewerbung. Frag also ausdrücklich danach, und sorge dafür, dass ein Nein folgenlos bleibt. Aktiv angesprochene Kandidaten, die sich nie beworben haben, haben ein Recht darauf zu erfahren, woher ihre Daten stammen, und zwar beim ersten Kontakt.
Löschfristen: einmal festlegen, dann automatisieren
Der häufigste DSGVO-Fehler im Recruiting ist nicht böser Wille, sondern Schlendrian: Lebensläufe von vor vier Jahren liegen noch auf einem geteilten Laufwerk, weil sich niemand fürs Löschen zuständig fühlt. Für Daten, die du nicht mehr brauchst, gibt es keine Rechtsgrundlage mehr.
Leg eine Aufbewahrungsfrist für abgelehnte Kandidaten fest, sechs Monate sind in der EU eine übliche und gut vertretbare Wahl, und schreib sie auf. Dann automatisiere sie. Eine Richtlinie, die davon abhängt, dass jemand ans Aufräumen denkt, ist keine Richtlinie, sondern ein Vorsatz. Dein System sollte termingerecht löschen, ohne dass ein Mensch eingreifen muss.
Mach Kandidatenrechte einfach, nicht widerwillig
Kandidaten können fragen, welche Daten du über sie hast, eine Kopie verlangen und die Löschung fordern. Behandle das als Produktfunktion, nicht als juristische Drohung. Die Unternehmen, die mit solchen Anfragen kämpfen, sind die, deren Kandidatendaten über Postfächer, Tabellen und drei Tools verstreut sind, die nicht miteinander reden.
Wenn deine Hiring-Daten in einem System liegen, ist eine Auskunfts- oder Löschanfrage in Minuten erledigt. Wenn du dafür wochenlange Archäologie brauchst, ist das kein DSGVO-Problem, sondern ein Organisationsproblem, das die DSGVO nur sichtbar macht.
Halte Daten dort, wo sie hingehören
Wisse, wo deine Kandidatendaten physisch liegen und wer sie in deinem Auftrag verarbeitet. Wenn du in der EU einstellst, räumt EU-Datenhaltung eine ganze Kategorie von Fragen zu internationalen Übermittlungen aus dem Weg, und deine Auftragsverarbeitungsverträge sollten jeden Subprozessor nennen, der Kandidatendaten anfasst.
Das wird zunehmend auch umgekehrt zum Verkaufsargument: Kandidaten und Betriebsräte fragen immer öfter danach. Wer in einem Satz antworten kann, "EU-Server, hier ist die Liste der Verarbeiter", schafft mehr Vertrauen als eine vierzigseitige Datenschutzerklärung.
Die kurze Checkliste
- Ein führendes System für Kandidatendaten, keine Postfächer und Tabellen
- Rechtsgrundlage verstanden: Bewerbungsverarbeitung als Standard, ausdrückliche Einwilligung für den Talentpool
- Eine schriftliche Aufbewahrungsfrist, automatisch durchgesetzt
- Auskunfts- und Löschanfragen innerhalb von Tagen beantwortbar, aus einer Quelle
- Datenstandort bekannt, Subprozessoren gelistet, AV-Verträge unterschrieben
- Interviewnotizen so geschrieben, als würde der Kandidat sie lesen, denn das kann passieren
Nichts davon braucht eine Rechtsabteilung. Es braucht einmal richtig gewählte Standards und Tools, die sie durchsetzen. (Das ist praktische Orientierung, keine Rechtsberatung; bei Sonderfällen frag eine Fachperson.)
Mehr aus dem Blog
Candidate experienceVeröffentlicht am 11. Juni 2026Dein Einstellungsprozess ist deine Employer Brand
Kandidaten bilden sich ihr Urteil über dein Unternehmen lange vor einem Angebot. Jeder Kontaktpunkt im Einstellungsprozess ist Markenarbeit, ob du ihn so behandelst oder nicht.
Weiterlesen→
Candidate experienceVeröffentlicht am 8. Juni 2026Absagen, die Kandidaten wirklich respektieren
Ein gutes Nein kostet fünf Minuten und zahlt jahrelang auf deinen Ruf ein. Was eine Absage, die deine Reputation stärkt, von einer unterscheidet, die ihr leise schadet.
Weiterlesen→
Hiring tipsVeröffentlicht am 4. Juni 2026Warum gute Kandidaten aus deiner Pipeline abspringen
Starke Kandidaten sagen dir selten, warum sie abgesprungen sind. Die Gründe sind meist vorhersehbar, und die meisten lassen sich noch dieses Quartal beheben.
Weiterlesen→
Den nächsten Beitrag direkt in dein Postfach
Wöchentlicher Einblick
Jede Woche eine kurze, hilfreiche Lektüre zum Thema Recruiting. Kein Lärm, jederzeit abbestellbar.