Bewerberdatenschutz: was Du im Recruiting jetzt wirklich beachten musst

Du willst schnell und fair einstellen – ohne rechtliche Stolperfallen? Genau darum geht es hier. Der Bewerberdatenschutz ist längst kein „Papierkram“ mehr. Er bestimmt, wie professionell und vertrauenswürdig Dein Recruiting wirkt. Mit KI-Tools, Social-Media-Screenings und Talentpools ist der Rahmen enger geworden. In diesem Beitrag bekommst Du klare Leitplanken, praxiserprobte Schritte und aktuelle Einordnung – kompakt und auf den Punkt.

Rechtsgrundlagen: DSGVO, § 26 BDSG und der Blick auf die Praxis

Die Basis bleibt stabil: Art. 6 Abs. 1 lit. b DSGVO deckt die Verarbeitung, die für die Begründung eines Arbeitsverhältnisses erforderlich ist. § 26 BDSG konkretisiert das für Beschäftigtendaten und auch für Bewerber. Das klingt trocken, bedeutet praktisch: Verarbeite nur das, was Du für diese konkrete Stelle wirklich brauchst, informiere sauber (Art. 13/14 DSGVO) und halte Dich an klare Löschfristen.

Als Datenschützer erlebe ich oft, dass Prozesse und Informationspflichten gut gemeint, aber unscharf sind. Das Risiko? Falsche Rechtsgrundlage, fehlende Transparenz, unnötige Daten. Die Lösung ist weniger kompliziert: eine saubere Prozesslandkarte, passende Rechtsgrundlagen je Schritt, und ein Standardtext für Information und Einwilligung, der wirklich zu Deinen Verfahren passt.

Zulässige Daten und Fragerecht: Erfasse nur, was relevant ist

Im Bewerbungsgespräch gilt: Frage nur, was die Eignung für die konkrete Tätigkeit betrifft. Führerschein ist zulässig, wenn Fahrten zwingend sind. Gesundheitsdaten, Schwangerschaft oder politische Ansichten gehören nicht in zulässige Fragen. Bei unzulässigen Fragen steht Bewerbern sogar das „Recht zur Lüge“ zu. In der Praxis hilft Dir ein kurzes Fragerechte-Handout für HR und Fachbereich. Es vermeidet „Spontanfragen“, die Dir später rechtliche Probleme machen.

Internetrecherche und Background-Checks: Transparenz ist Pflicht

LinkedIn-Recherche? In der Regel zulässig – wenn Du informierst. Private Netzwerke wie Facebook oder die „private Sphäre“ auf X solltest Du für Background-Checks nicht nutzen.2 Entscheidender Punkt ist die Transparenz: Wenn Du Informationen über Dritte oder öffentlich zugängliche Quellen erhebst, greift Art. 14 DSGVO. Das heißt: Du musst darüber informieren – rechtzeitig und vollständig.

Die Rechtsprechung schärft das: Das BAG hat 2025 bestätigt, dass Nachforschen aus öffentlichen Quellen grundsätzlich zulässig ist – aber ohne Information an den Bewerber kann es teuer werden (Entschädigung zugesprochen). Und beim berühmten „XING-Fauxpas“ (Nachricht mit Gehaltsinfo an die falsche Person) stellte der EuGH klar: Auch „negative Gefühle“ können immaterieller Schaden sein – Transparenz und Sorgfalt sind unverzichtbar.

Informationspflichten (Art. 13/14 DSGVO): Zeitpunkt und Kanal entscheiden

Bewerber fühlen sich oft zu spät oder unklar informiert. Das vermeidest Du, wenn Du:

  • die Art. 13-Information bereits in der Stellenanzeige oder im Bewerbungsportal verlinkst,
  • eine Bestätigungs-Mail mit einem Klartext-Hinweis verschickst,
  • Art. 14-Information auslöst, sobald Du externe Quellen nutzt (z. B. LinkedIn, Google, Headhunter).

Mach es kurz, konkret und sprechbar. Ein guter Text sagt „wofür“, „wie lange“, „wer“ und „wie Du Widerruf und Löschung umsetzt“ – ganz ohne Juristenfloskeln.

Löschfristen und Talentpools: kurz halten, sauber dokumentieren

Nach einer Absage löscht Du Bewerberdaten grundsätzlich unverzüglich. Eine Ausnahme ist die Anspruchsabwehr nach dem AGG: drei bis sechs Monate sind üblich. Für den Talentpool brauchst Du eine informierte, freiwillige Einwilligung. Sie muss Zweck, Datenkategorien, Speicherdauer und Widerruf klar benennen – und praktisch funktionieren (ein Klick zum Opt-out reicht). Ein typischer Fehler ist „Einwilligung ohne Enddatum“. Besser: zeitlich befristen und rechtzeitig um Verlängerung bitten – sonst löschen.

TOMs im Recruiting: Zugriff, Verschlüsselung, Protokollierung

Recruiting-Daten gehören zu den sensibelsten im Unternehmen. Darum brauchst Du:

  • ein Berechtigungskonzept mit Rollen (HR, Fachbereich, Betriebsrat),
  • sichere Übertragungswege (TLS), verschlüsselte Ablage und Protokollierung,
  • eine klare Vertraulichkeitsverpflichtung aller Beteiligten,
  • regelmäßige Schulungen mit Fokus auf Fragerecht, Informationspflicht und Löschung.

Warum betonen wir das? Weil die meisten Vorfälle keine „Hackerattacken“, sondern einfache Sorgfaltsfehler sind: versehentlich falscher Versand, Kopien in privaten Drives, oder „Sammelpostfach mit Vollzugriff“. Das kostet Dich Reputation – und gegebenenfalls Geld.

KI im Recruiting: Was erlaubt ist – und was nicht

CV-Parsing darf Lebensläufe automatisiert strukturieren, sofern Datenrichtigkeit gesichert ist. Bei zusätzlicher Analyse (Scoring, Ranking) greift Art. 22 DSGVO: Es braucht echte menschliche Entscheidungshoheit, keine „Alibi“-Freigabe. Emotionsanalysen im Bewerbungsprozess sind praktisch tabu – sie sind datenschutzrechtlich problematisch und durch die EU-KI-Verordnung am Arbeitsplatz grundsätzlich untersagt. Für LLM-Chatbots gilt: nutze sie für Texte (Einladungen, FAQs) – nicht für finalen Kandidatenentscheid.
Und die KI-VO? Die Verbote für „unzulässige KI“ gelten bereits. Transparenzpflichten für General Purpose AI (GPAI), also allgemein einsetzbare KI-Systeme, laufen an und Hochrisiko-Pflichten greifen stufenweise bis 2026/2027. Für HR bedeutet das: Wenn Du KI zur Vorauswahl nutzt, brauchst Du Risikomanagement, Datenqualität, Protokollierung und einen echten „Human-in-the-loop“. Das ist kein Show-Act, sondern gelebte Verantwortung.

Risiken und Chancen im Bewerberdatenschutz

Risiken:

  • Bußgelder bis 20 Mio. EUR bzw. 4 % Umsatz, Beweisverwertungsverbote und arbeitsrechtliche Folgen.
  • Reputationsschäden durch Fehlversand oder undurchsichtige Background-Checks.
  • Vendor-Risiken, wenn KI-Funktionen unklar sind oder automatisierte Entscheidungen versteckt laufen.

Chancen:

  • Bessere Bewerbungserfahrung durch transparente Kommunikation und schnelle Löschungen.
  • Effizientere Auswahl mit CV-Parsing und klaren Kriterien – ohne rechtliches Risiko.
  • Stärkeres Vertrauen durch „Privacy by Design“ im Bewerbungsportal und klare Opt-ins für Talentpools.

Dein 10-Punkte-Plan: So setzt Du Recruiting datenschutzkonform auf

  • Erstelle eine Prozessübersicht über alle Recruiting-Phasen mit Rechtsgrundlagen je Verarbeitung.
  • Aktualisiere Deine Art. 13/14-Informationen und verlinke sie konsequent in Anzeigen, Portal und Mails.
  • Definiere ein Background-Check-Policy: berufliche Netzwerke ja, private nein; Transparenz per Art. 14.
  • Richte Talentpool-Einwilligungen mit klarer Speicherdauer und einfachem Widerruf ein.
  • Etabliere Löschregeln nach Absage (unverzüglich) und AGG-„Schutzfenster“ (3–6 Monate), technisch automatisiert.
  • Prüfe Deine Recruiting-Software: Auftragsverarbeitung, TOMs, KI-Funktionen, Art. 22-Konformität.
  • Stärke Zugriffskontrolle: Rollen, Protokollierung, Schulungen – besonders für Fachbereiche.
  • Dokumentiere KI-Einsatz: Risikoanalyse, Datenqualität, menschliche Kontrolle, Entscheidungsprotokoll.
  • Halte Betriebs-/Dienstvereinbarungen aktuell – inkl. KI-spezifischer Regeln und Löschfristen.
  • Verankere einen Verantwortlichen für Bewerberdatenschutz – und messe Umsetzung regelmäßig.

Zwei Praxisfälle, die bleiben

Die Hochschule, die vor dem Gespräch „nur kurz googelte“ und die Information nicht kommunizierte – am Ende stand eine Entschädigung. Das vermeidest Du mit einer einfachen Art. 14-Information, die Du standardisiert auslöst, sobald Du externe Quellen nutzt.
Die Bank, deren XING-Nachricht an die falsche Person ging – ein vermeidbarer Fehler, aber mit echtem immateriellem Schaden. Halte Deine Kanäle sicher, arbeite mit Vorlagen, und nutze ein 4-Augen-Prinzip bei heiklen Mitteilungen.

FAQ: Die häufigsten Fragen aus HR

Darf ich Bewerber googlen? Ja, aus öffentlichen Quellen – aber informiere sie darüber nach Art. 14 DSGVO.

Wie lange darf ich Bewerbungen speichern? Nach Absage grundsätzlich löschen; zur Anspruchsabwehr nach AGG sind 3–6 Monate üblich.

Brauche ich für den Talentpool eine Einwilligung? Ja, freiwillig, informiert, befristet und leicht widerrufbar.

Dürfen wir Chatbots für Vorentscheidungen nutzen? Nur, wenn der Mensch wirklich entscheidet; automatisierte Entscheidungen mit Rechtswirkung sind unzulässig.

Muss ich den Ablehnungsgrund nennen? Einen generellen Anspruch auf den Ablehnungsgrund gibt es nicht; aber Transparenz über Datenquellen und Verarbeitung sehr wohl (Art. 13/14 DSGVO)

Was gilt für private Social-Media-Profile? Private Netzwerke sind für Background-Checks tabu; berufliche wie LinkedIn sind eher zulässig – mit Transparenz.

Fazit: Datenschutz macht Dein Recruiting besser – nicht langsamer

Gutes Recruiting ist fair, transparent und effizient. Wenn Du Informationspflichten ernst nimmst, Löschfristen lebst und KI sauber einsetzt, gewinnst Du Kandidaten und vermeidest Ärger. Fang pragmatisch an: mappe Deinen Prozess, bereinige Textbausteine, stelle Löschjobs ein. Danach ist der Rest Feinschliff.
Wenn Du Unterstützung für Umsetzung, Texte und Toolprüfung brauchst: Die advantegy GmbH begleitet Dich pragmatisch – von der Prozessaufnahme bis zur KI-konformen Vorauswahl.

Über uns

Die advantegy GmbH hilft Unternehmen, Datenschutz und Compliance alltagstauglich zu machen – mit klaren Prozessen, verständlichen Vorlagen und praxistauglichen Schulungen. Unser Ziel: sichere, effiziente und menschliche HR-Prozesse, die zu Deiner Kultur passen.