HireSift
ENKostenlos testen
Recht & Compliance

EU-Datensouveränität im Recruiting: Was du als Arbeitgeber wirklich wissen musst

HireSift22. April 20267 Min Lesezeit
EU-Datensouveränität im Recruiting: Was du als Arbeitgeber wirklich wissen musst

Bewerber vertrauen dir mit ihren sensibelsten Daten: Lebenslauf, Gehaltsvorstellungen, manchmal sogar Gesundheitsinformationen. Was passiert mit diesen Daten, wenn dein HR-Tool auf Servern in den USA liegt? Die Antwort ist unbequem – und rechtlich relevant.

EU-Datensouveränität ist kein Buzzword mehr. Es ist ein konkretes Compliance-Thema, das dich als Arbeitgeber direkt betrifft. Dieser Artikel zeigt dir, was du wissen musst – ohne Juristendeutsch.

Was bedeutet Datensouveränität eigentlich?

Datensouveränität bedeutet: Du behältst die Kontrolle über deine Daten. Nicht nur theoretisch, sondern auch dann, wenn der Anbieter deiner Software unter US-Recht fällt.

Das klingt abstrakt. Wird es aber sehr konkret, wenn du dir folgende Frage stellst:

Kann die US-Regierung auf die Bewerberdaten zugreifen, die du in deinem HR-Tool gespeichert hast?

Bei vielen US-amerikanischen Anbietern lautet die ehrliche Antwort: Ja, möglicherweise.

Der Grund ist der CLOUD Act (Clarifying Lawful Overseas Use of Data Act). Dieses US-Gesetz verpflichtet amerikanische Unternehmen dazu, Behörden auf Anfrage Zugang zu Daten zu gewähren – auch wenn diese Daten physisch auf Servern in Europa liegen.

Du speicherst Bewerberdaten bei einem US-Anbieter auf europäischen Servern? Trotzdem kann der Anbieter gezwungen werden, diese Daten herauszugeben. Ohne dein Wissen. Ohne deine Einwilligung.

Warum ist das ein Problem für Recruiting?

Bewerberdaten fallen unter die DSGVO. Das weißt du. Aber viele Arbeitgeber unterschätzen, wie streng die Anforderungen wirklich sind.

Die DSGVO verlangt, dass personenbezogene Daten nur dann in Drittländer übermittelt werden, wenn ein angemessenes Schutzniveau gewährleistet ist. Die USA gelten nicht pauschal als sicheres Drittland – das hat der Europäische Gerichtshof in mehreren Urteilen klargestellt.

Was bedeutet das konkret? Wenn ein US-Anbieter eure Bewerberdaten verarbeitet und der CLOUD Act greift, liegt möglicherweise eine unzulässige Drittlandsübermittlung vor. Das kann teuer werden: Bußgelder bis zu 4 % des weltweiten Jahresumsatzes oder 20 Millionen Euro.

Für Recruiting-Verantwortliche heißt das: Die Wahl der HR-Software ist keine rein funktionale Entscheidung. Es ist auch eine Compliance-Entscheidung.

Das EU-US Data Privacy Framework – die neue Hoffnung?

Im Juli 2023 hat die EU-Kommission das EU-US Data Privacy Framework (DPF) als angemessenes Schutzniveau anerkannt. Das klingt gut. Viele Anbieter zertifizieren sich seitdem unter diesem Framework.

Aber: Der EuGH hat das Vorgänger-Framework (Privacy Shield) 2020 im sogenannten Schrems-II-Urteil gekippt. Das DPF ist der nächste Versuch, einen rechtssicheren Datentransfer in die USA zu ermöglichen.

Max Schrems und die Organisation NOYB haben bereits angekündigt, das DPF anzufechten. Eine neue Klage ist eingereicht. Das bedeutet: Das DPF könnte erneut kippen.

Was solltest du daraus mitnehmen? Zertifizierung unter dem DPF ist kein Freifahrtschein. Sie reduziert das Risiko – schließt es aber nicht vollständig aus. Wer auf Nummer sicher gehen will, wählt Anbieter, die vollständig unter EU-Recht operieren.

Europäische Anbieter vs. US-Anbieter: Der entscheidende Unterschied

Beim Vergleich von HR-Software für den europäischen Markt ist die Frage des Unternehmenssitzes entscheidend.

US-amerikanische Anbieter (auch mit EU-Servern) unterliegen dem CLOUD Act. Beispiele: Workday, SuccessFactors (SAP – aber US-Elterngesellschaft), Greenhouse, Lever.

Europäische Anbieter, die ausschließlich unter EU-Recht operieren, sind nicht dem CLOUD Act unterworfen. Beispiele aus dem DACH-Raum: Personio, Softgarden, JOIN, HireSift.

Das bedeutet: Wenn du einen EU-Anbieter wählst, der seine Daten in der EU hält und keiner US-Muttergesellschaft unterstellt ist, hast du ein wesentlich sichereres Fundament.

Wichtig: Das allein macht dich nicht automatisch compliant. Du musst trotzdem einen Auftragsverarbeitungsvertrag (AVV) abschließen und deine technischen und organisatorischen Maßnahmen (TOMs) dokumentieren.

Was du sofort prüfen solltest

Hier ist eine konkrete Checkliste für die nächste Stunde:

1. Wer ist dein HR-Software-Anbieter, und wo sitzt das Unternehmen rechtlich? Nicht nur wo die Server stehen – sondern wo das Unternehmen selbst seinen Rechtssitz hat. US-Konzerne mit EU-Töchtern unterliegen trotzdem dem CLOUD Act.

2. Gibt es einen aktuellen AVV mit dem Anbieter? Ohne AVV ist jede Auftragsverarbeitung unzulässig. Der Vertrag muss mindestens die Anforderungen aus Art. 28 DSGVO erfüllen.

3. Welche Datenübermittlungen in Drittländer finden statt? Das betrifft nicht nur dein Haupt-HR-Tool, sondern auch integrierte Dienste: E-Mail-Provider, Video-Interview-Tools, Background-Check-Anbieter.

4. Nutzt dein Anbieter Subverarbeiter in den USA? Viele EU-Anbieter setzen für einzelne Komponenten auf US-Dienste (z.B. AWS oder Google Cloud). Das muss im AVV offengelegt sein.

5. Ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich? Bei KI-gestütztem Screening oder anderen Hochrisiko-Verarbeitungen ist eine DSFA Pflicht (Art. 35 DSGVO). Hast du eine durchgeführt?

Der praktische Weg zu mehr Datensouveränität

Datensouveränität herzustellen ist kein einmaliges Projekt. Es ist ein kontinuierlicher Prozess. Hier sind die wichtigsten Schritte:

Schritt 1: Dienstleister-Audit Liste alle Tools auf, die Bewerberdaten verarbeiten. Prüfe für jeden Anbieter: Unternehmenssitz, Server-Standort, Subverarbeiter, CLOUD-Act-Risiko.

Schritt 2: Vertragsprüfung Stelle sicher, dass du mit jedem Anbieter einen rechtskonformen AVV hast. Überprüfe die Standardvertragsklauseln (SCC) für Drittlandsübermittlungen.

Schritt 3: Tool-Konsolidierung Weniger Tools = weniger Risiko. Wenn du fünf verschiedene Systeme nutzt, die alle separat Bewerberdaten verarbeiten, multipliziert sich dein Compliance-Aufwand.

Schritt 4: Dokumentation Halte dein Verarbeitungsverzeichnis aktuell. Bei einer Datenschutzprüfung bist du in der Nachweispflicht.

Schritt 5: Schulung Deine Recruiting-Mitarbeiter müssen wissen, was sie dürfen und was nicht. Kein Tool, das nicht freigegeben ist. Keine private E-Mail für Bewerberdaten.

HireSift ist ein europäischer Anbieter, der ausschließlich auf EU-Infrastruktur setzt und vollständig unter deutschem und EU-Recht operiert. Das macht die Compliance für dich deutlich einfacher.

Was passiert, wenn du es ignorierst?

Datenschutzbehörden werden aktiver. Das ist kein Geheimnis. Die österreichische Datenschutzbehörde (DSB), das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) und die Berliner Beauftragte für Datenschutz haben in den letzten Jahren mehrfach Unternehmen wegen DSGVO-Verstößen abgemahnt oder mit Bußgeldern belegt.

Die häufigsten Verstöße im Recruiting-Bereich:

  • Fehlendes oder mangelhaftes AVV mit HR-Software-Anbieter
  • Unzulässige Drittlandsübermittlungen ohne Rechtsgrundlage
  • Zu lange Speicherdauer von Bewerberdaten
  • Fehlende Information der Bewerber über Datenverarbeitung

Das Risiko ist real. Aber es ist beherrschbar – wenn du die richtigen Entscheidungen triffst.

Fazit: Datensouveränität ist Wettbewerbsvorteil

Wenn du deinen Bewerbern glaubwürdig sagen kannst, dass ihre Daten sicher und ausschließlich in Europa verarbeitet werden, ist das nicht nur ein Compliance-Argument. Es ist ein Vertrauensargument.

Gute Kandidaten – vor allem in sensiblen Branchen wie Healthcare, Finanzen oder Öffentlicher Dienst – achten darauf, wie Arbeitgeber mit Daten umgehen. Datensouveränität ist kein Bürokratie-Thema. Es ist ein Signal dafür, wie ernst du Vertrauen nimmst.

Nächster Schritt: Überprüfe heute die DSGVO-Konformität deiner Recruiting-Tools. HireSift bietet dir dabei einen strukturierten Einstieg – als europäische Lösung mit AVV, klaren TOMs und transparenter Datenverarbeitung. Teste HireSift kostenlos.

Häufig gestellte Fragen

Ist ein US-Anbieter mit EU-Servern DSGVO-konform? Nicht automatisch. Der entscheidende Faktor ist der Unternehmenssitz, nicht der Server-Standort. US-Unternehmen unterliegen dem CLOUD Act, auch wenn die Daten physisch in Europa liegen.

Was ist der Unterschied zwischen AVV und Standardvertragsklauseln (SCC)? Der AVV regelt die Auftragsverarbeitung zwischen dir und deinem Anbieter. SCCs sind zusätzliche Vertragsklauseln, die bei Drittlandsübermittlungen (z.B. USA) den Datentransfer rechtlich absichern sollen.

Muss ich eine DSFA machen, wenn ich KI im Recruiting nutze? In der Regel ja. KI-gestütztes Screening ist eine automatisierte Verarbeitung mit erheblicher Auswirkung auf betroffene Personen – das löst die DSFA-Pflicht nach Art. 35 DSGVO aus.

Weniger screenen. Mehr einstellen.

HireSift analysiert 100 CVs in Minuten — mit zwei transparenten Scores, EU AI Act konform, ohne Kreditkarte.

7 Tage kostenlos testen

Weitere Artikel

KI-Screening und Datenschutz in Österreich: Was du als Arbeitgeber wissen musst
Recht & Compliance

KI-Screening und Datenschutz in Österreich: Was du als Arbeitgeber wissen musst

KI im Recruiting ist legal — aber nur mit dem richtigen Datenschutz-Setup. Wir zeigen, was in Österreich gilt und was du konkret tun musst.

22. April 20267 Min