DSGVO-konformes Recruiting: Die Checkliste für HR-Teams

Die DSGVO gilt seit 2018. Trotzdem verstoßen 67 % der Unternehmen im DACH-Raum gegen mindestens eine Vorgabe im Recruiting (Bitkom, 2025). Nicht aus bösem Willen. Aus Unwissen.

Bußgelder bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes sind möglich. In der Praxis liegen die Strafen niedriger. Aber sie steigen. 2025 wurden im DACH-Raum Bußgelder von insgesamt 14 Millionen Euro für Datenschutzverstöße im HR-Bereich verhängt.

Dieser Artikel gibt Ihnen eine praktische 12-Punkte-Checkliste. Keine juristische Abhandlung. Sondern konkrete Schritte, die Ihr HR-Team umsetzen kann.

Hinweis: Dieser Artikel ersetzt keine Rechtsberatung. Konsultieren Sie Ihren Datenschutzbeauftragten für verbindliche Auskommen.

Was die DSGVO im Recruiting fordert

Die DSGVO regelt den Umgang mit personenbezogenen Daten. Im Recruiting sind das:

• Name, Adresse, Kontaktdaten
• Lebenslauf und Anschreiben
• Zeugnisse und Zertifikate
• Fotos
• Gehaltsvorstellungen
• Notizen aus Interviews
• Ergebnisse aus Screenings und Assessments

All diese Daten unterliegen strengen Regeln. Die wichtigsten Prinzipien:

Zweckbindung: Daten dürfen nur für den angegebenen Zweck verwendet werden. Ein Lebenslauf für Stelle A darf nicht automatisch für Stelle B verwendet werden.

Datenminimierung: Erheben Sie nur Daten, die für die Entscheidung relevant sind. Familienstand? Nicht relevant. Berufserfahrung? Relevant.

Speicherbegrenzung: Daten müssen nach Zweckerfüllung gelöscht werden. Nach einer Absage gibt es Fristen.

Transparenz: Bewerber müssen wissen, was mit ihren Daten passiert.

Die 12-Punkte-Checkliste

1. Datenschutzerklärung in der Stellenanzeige

Jede Stellenanzeige braucht einen Link zu Ihrer Datenschutzerklärung für Bewerber. Nicht die allgemeine Website-DSE. Eine spezifische für den Bewerbungsprozess.

Inhalt: Welche Daten werden erhoben? Wer verarbeitet sie? Wie lange werden sie gespeichert? Welche Rechte haben Bewerber?

Häufiger Fehler: Die DSE steht nur auf der Karriereseite. Aber Bewerbungen kommen auch per E-Mail oder über Jobportale. Dort fehlt der Hinweis.

2. Rechtsgrundlage dokumentieren

Sie brauchen eine Rechtsgrundlage für die Verarbeitung. Im Recruiting gibt es 2 Optionen:

• Art. 6 Abs. 1 lit. b DSGVO: Verarbeitung zur Durchführung vorvertraglicher Maßnahmen. Das deckt den Bewerbungsprozess ab.
• Art. 6 Abs. 1 lit. a DSGVO: Einwilligung. Nötig, wenn Sie Daten über den konkreten Prozess hinaus speichern möchten (z. B. Talent-Pool).

Wichtig: Dokumentieren Sie, welche Rechtsgrundlage Sie für welchen Verarbeitungsschritt nutzen.

3. Einwilligung für den Talent-Pool

Wenn Sie Bewerber nach einer Absage im Talent-Pool behalten möchten: Sie brauchen eine explizite Einwilligung. Opt-in. Nicht Opt-out.

Die Einwilligung muss:

• Freiwillig sein (kein Nachteil bei Verweigerung)
• Spezifisch sein (für welchen Zweck, wie lange)
• Jederzeit widerrufbar sein

4. Löschfristen einhalten

Nach einer Absage müssen Bewerberdaten gelöscht werden. Die empfohlene Frist im DACH-Raum:

• Deutschland: 6 Monate nach Ende des Verfahrens (AGG-Klagefrist)
• Österreich: 7 Monate (Gleichbehandlungsgesetz)
• Schweiz: 3 Monate nach Absage

Danach: löschen. Nicht archivieren. Löschen.

Häufiger Fehler: Bewerbungen bleiben jahrelang im E-Mail-Postfach. Das ist ein Verstoß.

5. Zugriffsrechte einschränken

Nicht jeder im Unternehmen darf Bewerberdaten sehen. Nur Personen, die am Entscheidungsprozess beteiligt sind:

• HR-Team
• Hiring Manager für die konkrete Stelle
• Geschäftsführung (wenn direkt beteiligt)

Der Empfangsmitarbeiter? Nein. Die Marketing-Abteilung? Nein. Der Praktikant? Nein.

6. Auftragsverarbeitungsvertrag (AV-Vertrag) mit Tools

Jedes externe Tool, das Bewerberdaten verarbeitet, braucht einen AV-Vertrag. Das gilt für:

• ATS-Systeme (Personio, Recruitee, etc.)
• KI-Screening-Tools
• Cloud-Speicher (Google Drive, Dropbox)
• E-Mail-Dienste
• Video-Interview-Tools

Häufiger Fehler: ChatGPT für CV-Screening verwenden. Ohne AV-Vertrag. Mit US-Servern. Das ist ein klarer Verstoß.

7. EU-Hosting sicherstellen

Bewerberdaten sollten in der EU verarbeitet werden. Seit dem Schrems-II-Urteil ist die Übertragung in die USA nur unter strengen Bedingungen möglich.

Praxis-Check: Wo hostet Ihr ATS? Wo hostet Ihr KI-Tool? Wo liegt Ihr E-Mail-Server?

8. Keine automatisierten Einzelentscheidungen

Art. 22 DSGVO verbietet Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen. Im Recruiting: Ein KI-Tool darf Bewerbungen bewerten. Aber ein Mensch muss die finale Entscheidung treffen.

Das bedeutet: Automatisches Aussortieren ohne menschliche Prüfung ist verboten. Scoring und Ranking sind erlaubt. Automatische Absagen basierend auf einem Score allein sind es nicht.

Dieses Prinzip wird durch den EU AI Act ab 2026 weiter verschärft.

9. Auskunftsrecht gewährleisten

Bewerber haben das Recht zu erfahren:

• Welche Daten Sie über sie gespeichert haben
• Zu welchem Zweck
• An wen die Daten weitergegeben wurden
• Wie lange sie gespeichert werden

Sie müssen innerhalb von 30 Tagen antworten. Kostenlos.

Praxis-Tipp: Bereiten Sie eine Vorlage vor. Wenn ein Bewerber fragt, können Sie schnell antworten.

10. Recht auf Löschung umsetzen

Bewerber können jederzeit die Löschung ihrer Daten verlangen. Sie müssen dem nachkommen. Vollständig.

Das bedeutet: Lebenslauf löschen. Notizen löschen. E-Mails löschen. Daten in allen Systemen löschen.

Häufiger Fehler: Der Lebenslauf wird aus dem ATS gelöscht. Aber die lokale Kopie auf dem Laptop bleibt.

11. Verarbeitungsverzeichnis führen

Art. 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungstätigkeiten. Recruiting muss darin enthalten sein:

• Zweck der Verarbeitung
• Kategorien betroffener Personen (Bewerber)
• Kategorien personenbezogener Daten
• Empfänger der Daten
• Löschfristen
• Technische und organisatorische Maßnahmen

12. Datenschutz-Folgenabschätzung bei KI-Tools

Wenn Sie KI-Tools für die Vorauswahl einsetzen, kann eine Datenschutz-Folgenabschätzung (DSFA) erforderlich sein. Besonders wenn:

• Scoring oder Profiling stattfindet
• Große Datenmengen verarbeitet werden
• Neue Technologien eingesetzt werden

Sprechen Sie mit Ihrem Datenschutzbeauftragten. Die DSFA dokumentiert Risiken und Gegenmaßnahmen.

Die 5 häufigsten Fehler

Fehler 1: Bewerbungen per privater E-Mail

Bewerbungen an info@firma.de oder direkt an hans.mueller@firma.de. Ohne Verschlüsselung. Ohne Zugriffssteuerung. Ohne Löschkonzept. Das ist der häufigste Verstoß.

Fehler 2: WhatsApp im Recruiting

Schnelle Kommunikation per WhatsApp. Kein AV-Vertrag mit Meta. Datenübertragung in die USA. Kontaktdaten im persönlichen Telefonbuch. Gleich mehrere Verstöße.

Fehler 3: Lebensläufe im geteilten Ordner

Ein Google-Drive-Ordner "Bewerbungen". Zugriff für das gesamte Team. Keine Löschfristen. Kein Berechtigungskonzept.

Fehler 4: Social-Media-Screening ohne Rechtsgrundlage

LinkedIn-Profile und Instagram-Accounts systematisch durchsuchen. Das ist Profiling. Ohne Rechtsgrundlage. Ohne Wissen des Bewerbers. Das ist verboten.

Fehler 5: Keine Dokumentation

Alles richtig machen, aber nichts dokumentieren. Im Streitfall müssen Sie nachweisen, dass Sie DSGVO-konform gehandelt haben. Ohne Dokumentation gelingt das nicht.

Was digitale Tools automatisch lösen

Moderne HR-Tools können mehrere Punkte der Checkliste automatisch erfüllen:

• Zugriffsrechte: Rollenbasierte Berechtigungen statt offener Ordner.
• Löschfristen: Automatische Löschung nach konfiguriertem Zeitraum.
• AV-Vertrag: Seriöse Anbieter stellen ihn standardmäßig bereit.
• EU-Hosting: Daten bleiben in der EU.
• Audit-Trail: Dokumentation, wer wann auf welche Daten zugegriffen hat.

Ein spezialisiertes KI-Screening-Tool kann zusätzlich sicherstellen, dass keine automatisierten Einzelentscheidungen getroffen werden. Die KI liefert Scores. Der Mensch entscheidet.

Wichtig: Das Tool allein macht Sie nicht DSGVO-konform. Aber es reduziert die Fehlerquellen erheblich. Besonders im Vergleich zu E-Mail + Excel + geteiltem Ordner.

Sonderfall: KI-Tools und die DSGVO

Der Einsatz von KI im Recruiting bringt zusätzliche DSGVO-Anforderungen. Das betrifft jedes Unternehmen, das KI-gestützte Screening-Tools nutzt.

Informationspflicht: Sie müssen Bewerber darüber informieren, dass KI eingesetzt wird. Ein Satz in der Datenschutzerklärung reicht. Aber er muss da sein.

Erklärbarkeit: Bewerber haben das Recht zu verstehen, wie eine Entscheidung zustande kam. Ein transparenter Score mit Begründung erfüllt das. Ein Blackbox-Algorithmus nicht.

Opt-out-Möglichkeit: Bewerber sollten die Möglichkeit haben, eine manuelle Prüfung zu verlangen. In der Praxis passiert das selten. Aber das Recht muss bestehen.

Regelmäßige Überprüfung: Prüfen Sie mindestens einmal jährlich, ob Ihr KI-Tool noch DSGVO-konform arbeitet. Updates, neue Features und geänderte Datenflüsse können die Compliance-Lage verändern.

Was Sie jetzt tun sollten

1. Gehen Sie die 12 Punkte durch. Punkt für Punkt.
2. Markieren Sie, wo Lücken sind.
3. Priorisieren Sie: Löschfristen und Zugriffsrechte zuerst. Das sind die häufigsten Bußgeldgründe.
4. Sprechen Sie mit Ihrem Datenschutzbeauftragten.
5. Prüfen Sie Ihre Tools: Haben alle einen AV-Vertrag? Hosten alle in der EU?

Die DSGVO im Recruiting ist kein einmaliges Projekt. Es ist ein fortlaufender Prozess. Aber mit der richtigen Struktur und den richtigen Tools ist es kein Hexenwerk.

---

Weniger screenen. Mehr einstellen.

HireSift analysiert 100 CVs in Minuten — mit zwei transparenten Scores, EU AI Act konform, ohne Kreditkarte.

→ 7 Tage kostenlos testen