.webp)
Datenschutz im Recruiting war schon immer ein heikles Thema, aber 2026 ist es wichtiger denn je. Mit der Datenschutz-Grundverordnung (DSGVO), dem Bundesdatenschutzgesetz und dem EU AI Act haben Arbeitgebende gleich drei Regelwerke, die sie im Blick behalten müssen.
Ein Verstoß kann ein Unternehmen teuer zu stehen kommen. Wer die in der DSGVO beschriebenen Grundsätze der Verarbeitung personenbezogener Daten nicht einhält, muss mit einer Strafe von bis zu 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatzes rechnen. Die Nichteinhaltung der im EU AI Act genannten verbotenen KI-Praktiken wird mit einer Geldbuße von bis zu 35 Mio. EUR bzw. bis zu 7 % des weltweiten Jahresumsatzes belegt.
Tatsächlich ist die Rechtslage in den letzten Jahren komplexer geworden. Dennoch ist datenschutzkonformes Recruiting kein Hexenwerk. Dieser Leitfaden gibt einen Überblick darüber, was im Bewerbungsprozess erlaubt ist und was nicht. Sie erfahren u. a., welche Daten Sie von Bewerbenden einholen dürfen, wie lange Sie sie aufbewahren können und was der EU AI Act für die Arbeit mit einem Bewerbermanagementsystem bedeutet.
DSGVO im Recruiting: Das gilt
Rechtsgrundlage für den Datenschutz im Recruiting ist Art. 6 Abs.1 lit. b) der DSGVO. Der Recruiting-Prozess wird dabei als Anbahnungsphase für ein zukünftiges Arbeitsverhältnis gewertet. Wer Bewerberdaten erhebt, verarbeitet oder speichert, handelt im Sinne der DSGVO als Verantwortlicher und haftet, wenn dabei etwas schiefläuft.
Bewerbende haben dieselben Rechte wie Beschäftigte
Was vielen nicht bewusst ist: Für Bewerbende gelten dieselben Datenschutzrechte wie für Mitarbeitende. Dazu gehören:
- Auskunftsrecht
- Recht auf Berichtigung
- Recht auf Löschung
Wer eine Bewerbung einreicht, muss Auskunft darüber erhalten, welche seiner Daten gespeichert wurden, und darf deren Löschung verlangen.
Zweckbindung und Zugriffsbeschränkung
Zwei Grundsätze der DSGVO sind im Recruiting besonders relevant, nämlich Zweckbindung und Zugriffsbeschränkung.
- Zweckbindung
Bewerberdaten dürfen ausschließlich für das laufende Auswahlverfahren genutzt werden. Nicht für interne Analysen, nicht für Marketingzwecke und streng genommen auch nicht für andere Stellen!
- Zugriffsbeschränkung
Nur Personen, die unmittelbar am Auswahlprozess beteiligt sind, dürfen auf die Unterlagen zugreifen. Daher ist es auch keine gute Idee, Bewerbungen als E-Mail-Anhang quer durchs Unternehmen zu schicken. Denn dann kann der Datenschutz für Bewerbungsunterlagen nicht gewährleistet werden.
Technische und organisatorische Maßnahmen
Datenschutz im Recruiting ist nicht nur eine Frage der Prozesse, sondern auch der Technik. Gemäß Art. 32 DSGVO müssen Arbeitgeber geeignete technische und organisatorische Maßnahmen treffen, um die Grundsätze der Datenverarbeitung sicherzustellen: Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung. In der Praxis bedeutet das u. a.:
- Verschlüsselte Datenübermittlung bei Online-Bewerbungen,
- Sichere Speicherung,
- Ein Löschverfahren, das sicherstellt, dass Daten nach ihrer Löschung nicht wiederherstellbar sind.
Besonders relevant ist die Frage des Übermittlungswegs: Der klassische E-Mail-Versand ist nicht Ende-zu-Ende-verschlüsselt und damit aus datenschutzrechtlicher Sicht problematisch.
Die zeitgemäßere Lösung ist ein Online-Bewerbungstool wie Tellent Recruitee, über das Kandidat*innen ihre Unterlagen via eine verschlüsselte Verbindung einreichen können. Vor dem Upload können Arbeitgeber gleichzeitig über die Datenverarbeitung gemäß Art. 13 DSGVO informieren.
Bewerberdaten: Was Sie erfragen dürfen und was nicht
Die DSGVO folgt dem Grundsatz der Datensparsamkeit: Erhoben werden darf nur, was für die Besetzung der Stelle tatsächlich erforderlich ist.
Dabei ist der Begriff der Erforderlichkeit eng gefasst. Gemeint sind nicht alle Informationen, die für Arbeitgeber interessant wären, sondern ausschließlich solche, ohne die eine sachgerechte Einstellungsentscheidung unmöglich wäre.
Das gilt für Bewerbungsformulare ebenso wie für das Vorstellungsgespräch.
Diese Daten dürfen Sie erheben
Erhoben werden dürfen alle Daten, die für die Beurteilung der fachlichen Eignung direkt relevant sind. Dazu gehören:
- Name und Kontaktdaten
- Lebenslauf
- Zeugnisse
- Qualifikationsnachweise
- Notizen aus Vorstellungsgesprächen
Auch Fragen nach der Gehaltsvorstellung und dem frühestmöglichen Eintrittstermin sind natürlich erlaubt.
Diese Daten sind tabu
Gemäß AGG
Nicht zulässig sind gemäß dem Allgemeinen Gleichbehandlungsgesetz (AGG) Fragen zu:
- Schwangerschaft
- Familienplanung
- Religionszugehörigkeit
- politischer Überzeugung
- Gewerkschaftsmitgliedschaft
Eine Ausnahme besteht dann, wenn die Stelle diese Angaben zwingend erforderlich macht. Gleiches gilt für Gesundheitsdaten: Eine allgemeine Frage nach dem Gesundheitszustand ist unzulässig, eine konkrete Frage nach einer stellenrelevanten körperlichen Einschränkung kann unter engen Voraussetzungen erlaubt sein.
Gemäß DSGVO
Alles, was über die Beurteilung der fachlichen Eignung hinausgeht, ist auch im Sinne der DSGVO unzulässig. Das gilt sogar, wenn die bewerbende Person die Angaben scheinbar freiwillig macht! Eine Frage nach Hobbys im Vorstellungsgespräch klingt harmlos, ist aber im Sinne der DSGVO eine Verletzung des Persönlichkeitsrechts.
Dasselbe gilt für Referenzen beim früheren Vorgesetzten oder das Durchsuchen von Social-Media-Profilen: Beides mag aus Arbeitgebersicht naheliegend sein, ist ohne ausdrückliche Einwilligung der bewerbenden Person jedoch nicht erlaubt.
Einfache Faustregel: Wenn eine Information nicht zwingend für die Einstellungsentscheidung benötigt wird, darf sie nicht erhoben werden.
Wie lange dürfen Bewerberdaten aufbewahrt werden?
Ist eine Stelle besetzt, müssen die Daten aller abgelehnten Bewerbenden gelöscht werden. Zumindest in der Theorie. In der Praxis empfiehlt es sich, die Unterlagen noch bis zu sechs Monate nach Versand der Absage aufzubewahren, denn: In diesem Zeitraum haben abgelehnte Kandidat*innen gemäß AGG die Möglichkeit, eine Entschädigungsklage einzureichen. Die Bewerbungsunterlagen sind dann der einzige Nachweis, dass die Absage rechtmäßig war.
Müssen Arbeitgeber eine Einwilligung von Bewerbenden einholen?
Eine explizite Einwilligung ist für den regulären Bewerbungsprozess nicht erforderlich. Die Rechtsgrundlage liefert Art. 6 DSGVO direkt. Was jedoch Pflicht ist: Kandidat*innen darüber aufzuklären, welche Daten zu welchem Zweck verarbeitet werden.
Ein Recruiting-Tool wie Tellent Recruitee ist hier gleich doppelt hilfreich: Es ermöglicht Bewerbenden die verschlüsselte Übermittlung ihrer Unterlagen und gibt Arbeitgebern die Chance, ihrer Pflicht nachzukommen und auf die Verarbeitung der Daten hinzuweisen.
Talent Pools: Diese Datenschutzregeln müssen Sie beachten
Eine Bewerbung auf eine konkrete Stelle ist kein Freifahrtschein zur dauerhaften Datenspeicherung. Die Aufnahme in einen Talentpool ist datenschutzrechtlich ein eigenständiger Zweck und erfordert deshalb eine gesonderte Einwilligung.
Darauf müssen Sie achten:
- Ausdrückliche Einwilligung einholen
Abgelehnte Kandidat*innen müssen der Speicherung ihrer Daten im Talent Pool aktiv und freiwillig zustimmen.
- Transparent informieren
Im Rahmen der Einwilligung muss klar benannt werden, zu welchem Zweck die Daten gespeichert werden und wie lange.
- Einwilligung von der Bewerbung trennen
Die Zustimmung zum Talent Pool darf nicht an die ursprüngliche Bewerbung gekoppelt sein. Die Einwilligung muss separat erfolgen.
- Widerruf jederzeit ermöglichen
Es muss einen Prozess geben, der bei Widerruf der Einwilligung die umgehende Löschung der Daten sicherstellt.
Der EU AI Act: Was HR-Teams jetzt wissen müssen
Viele Unternehmen haben den EU AI Act bislang als abstraktes Brüsseler Regulierungsprojekt wahrgenommen. Für HR-Teams wird er jedoch zunehmend konkret. Denn: Recruiting-Tools sind laut dem Act prinzipiell erst einmal als hochriskante KI-Systeme einzustufen und für diese müssen Unternehmen ab Dezember 2027 vollständige Gesetzeskonformität nachweisen.
Warum Recruiting-KI als hochriskant gilt
Laut Anhang III des EU AI Acts gelten KI-Systeme als hochriskant, wenn sie:
- Ausschreibungen an bestimmte Zielgruppen ausspielen,
- Bewerbungen vorselektieren,
- Kandidatenprofile bewerten.
Der Gesetzgeber sieht hier zwei Risikoschwerpunkte. Erstens lernen KI-Modelle aus historischen Daten. Dabei übernehmen sie ungewollt auch diskriminierende Muster aus vergangenen Einstellungsentscheidungen. Zweitens sind viele Systeme eine Blackbox: Warum eine Bewerbung schlecht bewertet wurde, wissen oft weder Recruiter*innen noch die Software-Anbieter selbst.
Was „hochriskant“ in der Praxis bedeutet
Hochriskante KI-Systeme dürfen zwar weiter genutzt werden, dafür gelten aber strenge Auflagen. Betreiber solcher Systeme müssen u. a.:
- Menschliche Kontrolle sicherstellen
Hochrisiko-KI darf nur von geschulten und befugten Personen genutzt werden und muss laufend überwacht werden. Bei Risiken oder schwerwiegenden Fehlern muss sofort reagiert und die Nutzung gegebenenfalls gestoppt werden.
- Dokumentations- und Aufbewahrungspflichten einhalten
Nutzung, Risiken und Vorfälle müssen nachvollziehbar dokumentiert werden. Automatisch erzeugte Protokolle sind mindestens sechs Monate aufzubewahren.
- Transparenz gegenüber Betroffenen gewährleisten
Betroffene Personen müssen informiert werden, wenn KI zur Unterstützung von Entscheidungen über sie eingesetzt wird
Kurz gesagt: KI kann den Recruiting-Prozess unterstützen, aber die Kontrolle und Verantwortung muss klar beim Menschen bleiben.
Neue Übergangsfrist bis 02.12.2027
Ursprünglich sollte die vollständige Pflicht zur Gesetzeskonformität für hochriskante KI-Systeme ab August 2026 gelten. Am 7. Mai 2026 einigten sich Rat und Europäisches Parlament jedoch auf eine Verschiebung der Frist. Eigenständige hochriskante KI-Systeme müssen nun erst ab dem 2. Dezember 2027 vollständig compliant sein.
Jetzt ist der richtige Zeitpunkt zu handeln
Die Fristverlängerung ist kein Grund, das Thema aufzuschieben. Im Gegenteil: Es ist die Chance, Ihre Recruiting-Tools jetzt unter die Lupe zu nehmen. Gerade bei KI-Lösungen von Anbietern außerhalb Europas lohnt es sich genau zu prüfen, ob sie die Vorgaben des EU AI Acts zuverlässig erfüllen.
Folgende Leitfragen helfen Ihnen bei der internen Prüfung:
- Welche Tools beeinflussen Entscheidungen über Bewerbende?
- Kann der Anbieter nachvollziehbar belegen, dass die Anforderungen des EU AI Acts erfüllt werden?
- Bleibt die finale Entscheidung immer bei einem Menschen?
Europäische Lösungen wie Tellent Recruitee sind auf genau diese Anforderungen ausgelegt: KI unterstützt Recruiter*innen im Alltag, übernimmt aber keine eigenständigen Entscheidungen. Dazu kommen europäische Datenhaltung und Governance-Strukturen, die den Vorgaben des EU AI Acts entsprechen. Diese Absicherung schützt Unternehmen vor existenziellen Risiken, denn Verstöße gegen die EU-Verordnung werden mit drastischen Bußgeldern von bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes geahndet
DSGVO- & EU-AI-Act-Checkliste für das Recruiting
1. Transparenz schaffen
Bewerbende müssen klar darüber informiert werden, welche Daten erhoben werden, zu welchem Zweck und wie lange sie gespeichert bleiben. Die Datenschutzhinweise sollten gut sichtbar auf der Karriereseite und im Bewerbungsformular zu lesen sein.
2. Daten minimieren
Im Recruiting dürfen nur Informationen erhoben werden, die tatsächlich für die Bewertung der fachlichen Eignung notwendig sind. Die Faustregel ist einfach: Was für die Stelle nicht unbedingt notwendig ist, darf nicht erfragt werden.
3. Zugriffe absichern
Bewerbungsunterlagen dürfen nur für Personen zugänglich sein, die am Auswahlprozess beteiligt sind. Rollenbasierte Zugriffsrechte im Bewerbermanagementsystem helfen dabei, Datenschutz und Vertraulichkeit technisch sauber umzusetzen.
4. Datenschutzprozesse automatisieren
Informationspflicht erfüllen, Einwilligungen einholen, Löschanfragen und Berichtigungen bearbeiten: All das sind wesentliche Pflichten des Arbeitgebers im Rahmen der DSGVO. Mit einem Bewerbermanagementsystem wie Recruitee lassen sie sich weitgehend automatisieren und so Risiken vermeiden.
5. Talentpool rechtssicher nutzen
Wer Kandidat*innen für zukünftige Stellen speichern möchte, benötigt dazu eine ausdrückliche Einwilligung der Person. Diese muss freiwillig erfolgen und jederzeit widerrufbar sein.
6. KI-Einsatz kontrollieren
Beim Einsatz von KI-gestützten Recruiting-Tools sollten Unternehmen prüfen, ob der Anbieter die Anforderungen des EU AI Acts erfüllt. Besonders wichtig sind nachvollziehbare Entscheidungen und menschliche Kontrolle.
7. Verträge mit Anbietern prüfen
Wer ein Bewerbermanagementsystem oder andere Recruiting-Tools einsetzt, lässt personenbezogene Daten im eigenen Auftrag verarbeiten. Achten Sie darauf, dass mit jedem dieser Anbieter ein aktueller Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO vorliegt.
8. Active Sourcing dokumentieren
Dokumentieren Sie jeden Schritt beim proaktiven Ansprechen von Kandidat*innen genau. Wichtig: Die angesprochene Person muss frühzeitig darüber informiert werden, wie ihre Daten verarbeitet werden.
Mit dem richtigen Bewerbermanagementsystem auf der sicheren Seite
DSGVO-konformes Recruiting steht und fällt mit den Tools, die Sie täglich einsetzen. Ihr Bewerbermanagementsystem ist dabei der zentrale Hebel, denn hier laufen alle Bewerberdaten zusammen. Und genau hier entscheidet sich auch, ob Gesetzeskonformität im Alltag wirklich funktioniert oder nur auf dem Papier existiert.
Um unnötige Risiken zu vermeiden, sollten Sie darauf achten, dass Ihr Bewerbermanagementsystem mehr mitbringt als nur grundlegende Sicherheitsfunktionen. Die Software muss den Anforderungen der DSGVO sowie des EU AI Act entsprechen. Die Speicherung und Verarbeitung der Daten sollte idealerweise auf europäischen Servern erfolgen. Ebenso entscheidend sind Mechanismen zur Einhaltung der Rechenschaftspflicht, etwa durch vollständige Nachvollziehbarkeit aller Systemaktionen und durchgängige Dokumentation.
Genau an diesen Anforderungen orientiert sich Tellent Recruitee. Die Plattform wurde mit Blick auf die DSGVO konzipiert und ist nach ISO 27001 sowie SOC 2 zertifiziert. Sämtliche Daten werden ausschließlich innerhalb Europas gelagert und verarbeitet. Gesetzeskonformität ist hier kein nachgelagertes Feature, sondern integraler Bestandteil der Systemarchitektur. So stellen Sie sicher, dass Ihr Recruiting nicht nur effizient, sondern auch rechtssicher aufgestellt ist.
Buchen Sie jetzt eine Demo und sehen Sie selbst, wie einfach Datenschutz und Gesetzeskonformität mit Tellent Recruitee sind.
