Rechtliches und Datenschutz im Recruiting

Mit dem Inkrafttreten der Datenschutzgrundverordnung am 25. Mai 2018 hat sich die digitale Welt verändert. „Einfach mal machen“ geht nicht mehr, denn es sind strikte Vorschriften hinsichtlich der Datenverarbeitung zu beachten. Daher bildet die DSGVO auch die rechtliche Grundlage für das E-Recruiting

Im E-Recruiting sind aber nicht nur datenschutzrechtliche Hürden relevant. Bei Stellenausschreibungen greifen die gesetzlichen Vorschriften des Allgemeinen Gleichbehandlungsgesetzes. Generell müssen Arbeitgeber einige Regelungen aus dem Arbeitsrecht berücksichtigen.

Datenschutz im Recruiting
In diesem Artikel:

Datenschutz E Recruiting: Was ist zu beachten?

Für datenschutzkonforme E-Recruiting-Prozesse sind die Anforderungen der DSGVO zu beachten. Diese betreffen den gesamten Prozess von der Stellenausschreibung bis hin zu Verantwortlichkeiten bei Haftungsfragen. Art. 88 DSGVO ist maßgebend für das E-Recruiting. 

In diesem Artikel:

Nachfolgend stellen wir die rechtliche Seite des gesamten E-Recruiting-Prozesses dar, vor allem mit Fokus auf Datenschutz. Von den rechtlichen Grundlagen über die Stellenausschreibung bis hin zu Eignungstests. Also der gesamte Prozess vom Erstkontakt bis hin zur Bewerberauswahl

Disclaimer: Die nachfolgenden Ausführungen stellen keine Rechtsberatung dar und sollten eine solche auch nicht ersetzen. Kläre deine individuelle Situation durch Rücksprachen mit einem Anwalt. 

Stellenanzeigen und Ausschreibungen

Antidiskriminierung bei Stellenausschreibungen

Um Diskriminierung im Bewerberprozess zu vermeiden, greift das Allgemeine Gleichbehandlungsgesetz (AGG). Dieses klärt die Pflichten von Arbeitgebern im Bewerberprozess. So dürfen Kandidaten beispielsweise nicht wegen ihrer sexuellen Orientierung, ethnischer Herkunft oder ihrem religiösen Hintergrund benachteiligt werden. 

Ein aktuelles Beispiel: Genderneutrale Stellenausschreibungen. Menschen, die genetisch keinem der beiden Geschlechter zuzuordnen sind, können sich im Personenstand als “divers” oder “inter” eintragen lassen. Versäumen Arbeitgeber eine genderneutrale Stellenausschreibung, können Abmahnungen folgen.

Stellenausschreibungen: Pflichten für Arbeitgeber

An sich gibt es keine Pflichtangaben in Stellenausschreibungen. Doch je nach Rahmenbedingungen und Bewerberpool sind bestimmte Aspekte zu beachten. Wenn sich ein Arbeitsplatz als Teilzeit eignet, ist die Stelle dementsprechend auch in Teilzeit auszuschreiben (§7 I TzBfG). Und eignet sich eine Stelle auch für Schwerbehinderte, ist das Arbeitsamt darüber zu informieren (§81 I SGB IX).

Datenschutzrechtliche Hürden bei Stellenausschreibungen

Bei Stellenausschreibungen ist mit Blick auf den Datenschutz vor allem eines wichtig: Transparenz. Sofern Unternehmen personenbezogene Daten speichern, sind Bewerber darüber zu informieren. Auch die Einwilligung von Bewerbern ist dahingehend erforderlich, um den Datenschutz im Recruiting zu gewährleisten.

Einwilligungsmanagement beim Active Sourcing

Unternehmen dürfen Bewerberdaten nicht einfach so verarbeiten, sie benötigen die ausdrückliche Erlaubnis. Sofern ein Arbeitgeber personenbezogene Daten erhebt, ist im Bewerberprozess darauf hinzuweisen, beispielsweise über eine Datenschutzerklärung. Du kennst das ja, wenn du ein Kontaktformular ausfüllst und der Verarbeitung deiner Daten zustimmen musst – so ähnlich läuft das auch im Bewerbungsprozess ab.

Laut DSGVO muss die Einwilligung verständlich und leicht zugänglich sein. Das ist laut Art. 7 II DSGVO auch der Fall, wenn eine schriftliche Einwilligung noch andere Sachverhalte abdeckt. An sich gibt es aber kein Schriftformerfordernis. Art. 7 I DSGVO regelt zudem, dass Unternehmen die Beweislast bezüglich der Einwilligung haben (Dokumentationspflicht).

Ob die Bewerbung nun über die Website oder E-Recruiting-Plattformen erfolgt, spielt keine Rolle. Es kommt nämlich darauf an, ob Daten verarbeitet werden. Dementsprechend ist die Einwilligung durch Bewerber erforderlich. Arbeitgeber müssen einen sicheren Umgang mit Bewerberdaten ermöglichen und Kandidaten, beispielsweise mit einer Datenschutzerklärung, informieren.

Laut Art. 6 DSGVO gibt es aber noch fünf weitere Rechtsgrundlagen, welche die Verarbeitung von Bewerberdaten erlauben. Beispielsweise wenn es zur Erfüllung rechtlicher Pflichten oder für die vorvertraglichen Maßnahmen notwendig ist.

Einfachheit im gesamten Bewerbungsverfahren

Das Transparenzgebot hat für die Datenverarbeitung hohe Priorität. Für Bewerber muss nicht nur die Erteilung einfach sein, sondern auch der Widerruf. Zudem darf kein Ungleichgewicht zwischen den Parteien bestehen. Oftmals sind Bewerber gegenüber Arbeitgebern in der schwächeren Position. Die DSGVO stellt dahingehend sicher, dass beide Parteien gleichgestellt sind.


Im Sinne der Einfachheit legt die DSGVO auch fest, dass eine Einwilligung an keine andere Bedingung gekoppelt sein darf. Für den Kandidat besteht nämlich ein Nachteil, wenn anspruchsvolle Verträge mit dem Transparenzgebot kollidieren.

Datenschutzgrund Verordnung DSGVO im Recruiting: Der Umgang mit Daten

Erhebung, Speicherung, Verarbeitung

Die Betroffenenrechte sind in Kapitel 3 (Art. 12 – 13) der DSGVO geregelt.
Im Kern werden Bewerbern folgende Rechte im DSGVO Recruiting eingeräumt:

  • Recht auf Auskunft, Information und Transparenz: Bewerber haben das Recht darauf, eine Kopie ihrer gespeicherten, personenbezogenen Daten zu erhalten. 

  • Recht auf Berichtigung: Bewerber können die unverzügliche Berichtigung / Korrektur ihrer Daten verlangen. 

  • Recht auf Löschen: Bewerber können das Löschen ihrer Daten verlangen.

  • Recht auf Einschränkung der Verarbeitung: Unter Erfüllung bestimmter Voraussetzungen dürfen Bewerber die Verarbeitung personenbezogener Daten einschränken lassen. 

  • Recht auf Datenübertragbarkeit: Bewerber dürfen die verarbeiteten Daten verlangen und haben das Recht, diese weiterzugeben, ohne daran gehindert zu werden. 

  • Recht auf Widerspruch: Bewerber haben das Recht, gegen die Verarbeitung personenbezogener Daten zu widersprechen.

Datensicherheit und Aufbewahrungsfristen

Prinzipiell gibt es keine Aufbewahrungsfristen. Auch im Jahr 2023 kursiert das Gerücht, dass Arbeitgeber die Bewerberdaten für sechs Monate speichern dürfen bzw. müssen. Doch laut der Datenschutz Grundverordnung gilt: Daten dürfen nur zur Erfüllung eines bestimmten Zwecks erhoben werden. Die Prozesse der Datenverarbeitung müssen hierbei transparent sein. Bewerberdaten dürfen von der Personalabteilung daher nur so lange gespeichert werden, wie sie dem Zweck dienen.

Datensicherheit, Aufbewahrung und DSGVO Recruiting

Während des gesamten Bewerberprozesses sind Unternehmen dazu verpflichtet, personenbezogene Daten vertraulich zu behandeln. Bewerberdaten dürfen nur an HR-Prozesse beteiligte Personen einsehen und verarbeiten. Inbegriffen sind hierbei nicht nur Kontaktdaten, sondern auch Fotos, Informationen über die Familie, Zeugnisse und persönliche Interessen. Bei der Weiterleitung von E-Mail Adressen und Inhalten unter Mitarbeitern sind Verschlüsselungen empfehlenswert.

Idealerweise ist das Personal im Datenschutz geschult und kennt die Anforderungen an die sorgfältige Verarbeitung von personenbezogenen Daten. Arbeitgeber sind dazu verpflichtet, Angestellte im Datenschutz zu schulen – denn nur so können die Anforderungen des Recruiting Datenschutz beachtet und eingehalten werden.

Ein Sonderfall liegt vor, wenn Bewerbungen im Recruiting-Prozess zurückgezogen werden. Damit äußert der Kandidat seinen indirekten Wunsch auf Datenlöschung. In Art. 17 DSGVO ist das Recht auf Löschung definiert. Der Zweck der Datenverarbeitung und -speicherung ist deshalb ausgeschieden, weil der Kandidat die vakante Stelle nicht mehr besetzen kann.

Sechs Monate Frist bis zur Datenlöschung: Woher kommt sie?

Die Aufbewahrungsfrist der personenbezogenen Daten ist nicht in der DSGVO geklärt, ergibt sich aber aus dem Allgemeinen Gleichbehandlungsgesetz. Bewerber können im Nachhinein Ansprüche wegen Benachteiligung schriftlich geltend machen und deshalb müssen Unternehmen die Daten mindestens 2 Monate speichern. Innerhalb von weiteren 3 Monaten sind die Ansprüche einzuklagen. Um Verzögerungen zu berücksichtigen, wird ein weiterer Monat als Puffer gewährt. Das ergibt die üblichen 6 Monate.

Datenschutz im Recruiting: Eignungstest, Bewertungsverfahren und Talent Relationship Management

Viele Unternehmen greifen auf Datenbanken zurück, um Bewerberdaten einzupflegen. Prinzipiell ist das erlaubt, aber auch wieder nur unter der Prämisse, dass eine Einwilligung vorliegt. Wir empfehlen, diese Einwilligung schriftlich einzuholen.

Da die Aufnahme in einen Kanidatenpool oft unmittelbar nach der Bewerbung erfolgt, sollten potenzielle Arbeitnehmer bereits in der Stellenausschreibung darauf hingewiesen werden. Das vermeidet Missverständnisse und vor allem Verstöße gegen die DSGVO. Ein Hinweis ersetzt aber keine Einwilligung – diese solltest du trotzdem erfragen.

Achte darauf, dass Ergebnisse aus Einstellungstests oder Eignungstests vertraulich behandelt werden. „Hauptsache effizient“ gilt im Datenschutz nicht, denn wenn Bewerber untereinander die Ergebnisse erfahren, stellt das einen Verstoß dar. Achte darauf, dass jeder Teilnehmer seine Auswertung einzeln erhält und versende die Ergebnisse als verschlüsselte Mails.

Ebenfalls verpflichtend ist die diskriminierungsfreie Durchführung von Bewertungsverfahren. Das AGG greift nicht nur bei der Stellenausschreibung, sondern auch bei der Beurteilung. Merkmale wie die Herkunft, Religion oder die sexuelle Orientierung dürfen bei der Auswertung keine Rolle spielen.

Im Zusammenhang mit dem AGG ist auch zu beachten, welche Fragen die Personalabteilung stellt. So ist es bei Online-Assessments (und auch im Vorstellungsgespräch) nicht erlaubt zu fragen, ob jemand Mitglied in einer Gewerkschaft ist. Ebenfalls untersagt sind Fragen bezüglich der Familienplanung oder nach dem Alter. Es ist auch untersagt, sich nach Vorstrafen zu erkundigen – die Ausnahme besteht, wenn ein Zusammenhang mit der Stelle besteht (Beispiel: Supermarktkassierer ist wegen Diebstahl vorbestraft).

Datenschutz E-Recruiting: Verantwortlichkeiten und Haftung

Während des gesamten Bewerbungsprozesses besteht die Gefahr für einen Verstoß gegen die DSGVO. Fallstricke im Recruiting können deinem Unternehmen viel Geld kosten. Mal ganz zu schweigen vom Imageschaden.

Die Art. 82 und 83 DSGVO klären Fragen bezüglich der Haftung und Konsequenzen. Bei Verstößen gegen die DSGVO müssen Unternehmen entweder Schadensersatz zahlen (Art. 82) oder für Bußgelder aufkommen (Art. 83). Die Summe ist hierbei nicht zu unterschätzen: Das Online-Marketing-Unternehmen Criteo musste im Juni 2023 eine Strafe in Höhe von 40 Millionen Euro bezahlen, weil es personenbezogene Daten ohne Einwilligung der Kunden verarbeitet hat (Quelle).

Nicht immer haftet das Unternehmen, sondern der Geschäftsführer. Das hat ein Urteil des OLG Dresden vom 30.11.2021 bestätigt. Die Begründung: Nach Definition der DSGVO sind Geschäftsführer eigene datenschutzrechtliche Verantwortliche. Der Europäische Gerichtshof hat bereits 2018 in einem Urteil drei Kriterien festgelegt, wann ein Geschäftsführer verantwortlich ist:

Im Bewerbermanagement sind mehrere Parteien involviert, dementsprechend erweitert sich auch der Kreis der Haftenden. Mitarbeitende können für Datenschutzverstöße belangt werden, wenn sie vorsätzlich handeln. Bei Fahrlässigkeit ist eine Haftung ausgeschlossen. Bei Kündigungsfragen, also dem Arbeitsrecht, sieht das wiederum anders aus – hier bewegt man sich aber schon vom Datenschutz weg.

Im Zusammenhang mit der Haftung gibt es aber noch viele Fallstricke und Unstimmigkeiten. So müssen Unternehmen und Geschäftsführer für rechtswidrige Handlungen ihrer Mitarbeitenden haften, aber die Rechtslage ist unklar, wenn man den schuldigen Mitarbeiter nicht findet.

Im Falle eines Datenschutzverstoßes ist dies gemäß Art. 33 DSGVO der zuständigen Aufsichtsbehörde zu melden. Hierzu haben Unternehmen eine Frist von 72 Stunden. Doch auch hier gibt es Ausnahmen: Liegt z. B. ein geringes Verletzungsrisiko der personenbezogenen Daten vor, besteht keine Meldepflicht. Das ist unter anderem der Fall, wenn verschlüsselte Datenträger verloren gegangen sind.

Fazit

Die Anforderungen an den Datenschutz im Recruiting haben sich die letzten Jahre verändert. Unternehmen müssen die Rechte von Bewerbern beachten und dürfen Daten nur bei ausdrücklicher Einwilligung verarbeiten. Transparenz, Verständlichkeit und Dokumentation bilden die Grundpfeiler für eine gute Compliance im Recruiting.

Schulungen über die Datenschutzgrundverordnung unterstützen das Vorhaben, eine rechtssichere Personalsuche zu etablieren. Schließlich sind an der Erfassung personenbezogener Daten mehrere Parteien beteiligt – ist nur einer von den Mitarbeitern nicht ausreichend geschult, führt das im Worst Case zu Verstößen.