HireSift
ENKostenlos testen
Recht & Compliance

Schrems II und Recruiting-Software: Was du jetzt wirklich tun musst

HireSift23. April 20268 Min Lesezeit
Schrems II und Recruiting-Software: Was du jetzt wirklich tun musst

Wenn du Recruiting-Software nutzt, speicherst du Bewerberdaten. Das klingt banal. Rechtlich ist es das nicht. Viele Tools laufen über US-Anbieter, US-Subprozesse oder US-Supportstrukturen. Genau dort beginnt das Risiko.

Schrems II ist kein theoretisches Urteil für Juristen. Es ist ein praktischer Prüfstein für deine HR-IT. Sobald personenbezogene Daten in Drittländer fließen, musst du sauber prüfen. Sonst wird aus einem Komfort-Tool schnell ein Compliance-Problem.

In diesem Artikel zeige ich dir, worauf es ankommt. Du bekommst eine klare Einordnung, konkrete Prüfpunkte und Maßnahmen, die du sofort umsetzen kannst.

Warum Schrems II Recruiting direkt betrifft

Schrems II ist das EuGH-Urteil, das das Privacy Shield gekippt hat. Seitdem reicht ein Hinweis auf einen „sicheren Cloud-Dienst“ nicht mehr aus. Du musst bewerten, ob deine Datenübermittlung wirklich geschützt ist.

Das trifft Recruiting besonders stark. Denn hier sammelst du viele sensible Daten auf einmal.

  • Lebensläufe
  • Kontaktdaten
  • Gehaltsvorstellungen
  • Notizen aus Interviews
  • Bewertungen aus Screening-Tools

Wenn diese Daten an einen US-Anbieter gehen, brauchst du mehr als nur schöne Produktseiten. Du brauchst eine belastbare Rechtsgrundlage, passende Verträge und eine technische Architektur, die das Risiko wirklich reduziert.

Praxis-Tipp: Prüfe jede Anwendung einzeln. Ein Vendor-Check „für den ganzen Stack“ reicht nicht.

Was das Urteil praktisch verändert hat

Vor Schrems II war das Denken oft zu einfach. Anbieter hatten EU-Server, also schien alles gut. Das Urteil hat diese Bequemlichkeit beendet.

Heute gilt: Nicht nur der Serverstandort zählt. Entscheidend ist auch, wer rechtlich auf die Daten zugreifen kann.

Ein US-Unternehmen kann unter den CLOUD Act fallen. Dann können Behörden Zugriff verlangen, selbst wenn die Daten physisch in Europa liegen. Genau deshalb sind US-Tools im Recruiting heikel.

Für dich heißt das:

  • Server in Frankfurt sind kein Freifahrtschein
  • Ein DPA allein reicht oft nicht
  • Standardvertragsklauseln müssen überprüft werden
  • Zusätzliche technische Schutzmaßnahmen sind Pflicht

Das klingt aufwendig. Ist es auch. Aber du brauchst diese Sorgfalt, wenn du Bewerberdaten ernst nimmst.

Welche Tools du besonders kritisch prüfen solltest

Nicht jedes Tool hat das gleiche Risiko. Beginne mit den Systemen, die echte Bewerberdaten verarbeiten.

  1. Applicant Tracking Systems
  2. CV-Parsing-Tools
  3. KI-Screening-Software
  4. Video-Interview-Plattformen
  5. E-Mail- und Kalender-Integrationen
  6. Background-Check-Dienste
  7. Analytics- und Tracking-Tools

Gerade Integrationen werden oft vergessen. Dein ATS mag europäisch sein. Aber wenn dein Video-Interview-Tool in den USA sitzt, hast du trotzdem einen Datentransfer.

Praxis-Tipp: Zeichne deinen Datenfluss einmal auf. Vom ersten Klick bis zur Absage. Erst dann siehst du die echten Risiken.

Die wichtigste Frage: Wer ist der Anbieter rechtlich?

Viele Teams schauen nur auf die Marke. Das reicht nicht.

Du musst wissen:

  • Wo sitzt die Muttergesellschaft?
  • Wer betreibt die Infrastruktur?
  • Wer ist Subprozessor?
  • Welche Supportteams greifen auf Daten zu?
  • Welche Cloud wird verwendet?

Ein Anbieter mit deutscher Vertriebsniederlassung ist nicht automatisch ein deutscher Anbieter. Wenn die Gruppe in den USA sitzt, bleibt das CLOUD-Act-Risiko bestehen.

Deshalb ist die juristische Struktur oft wichtiger als das Marketing.

Praxis-Tipp: Bitte deinen Anbieter um eine schriftliche Übersicht zu Konzernstruktur, Subprozessoren und Speicherorten.

Was ein guter AVV enthalten muss

Der Auftragsverarbeitungsvertrag ist Pflicht. Aber nicht jeder AVV schützt dich gleich gut.

Achte darauf, dass der Vertrag klar regelt:

  • Welche Daten verarbeitet werden
  • Zu welchem Zweck die Verarbeitung erfolgt
  • Wo die Daten gespeichert werden
  • Welche Subprozessoren beteiligt sind
  • Wie gelöscht wird
  • Welche Unterstützung du bei Betroffenenrechten bekommst
  • Wie Sicherheitsvorfälle gemeldet werden

Wenn der AVV vage bleibt, ist das ein Warnsignal. Besonders bei US-Anbietern werden Klauseln oft zu allgemein formuliert.

Praxis-Tipp: Lies nicht nur den AVV. Lies auch die DPA-Anhänge, Subprozessor-Listen und die Datenschutzseite des Anbieters.

Technische Maßnahmen, die wirklich helfen

Rechtliche Dokumente sind wichtig. Aber sie reichen nicht allein. Du brauchst auch technische Maßnahmen.

Besonders wirksam sind:

  • Datenminimierung
  • Verschlüsselung im Transit und im Ruhezustand
  • strenge Rollen- und Rechtevergabe
  • Protokollierung von Zugriffen
  • kurze Speicherfristen
  • Pseudonymisierung, wo möglich
  • Trennung von Test- und Produktivdaten

Im Recruiting ist Datenminimierung oft der größte Hebel. Wenn du nur die Daten erhebst, die du wirklich brauchst, sinkt dein Risiko sofort.

Das ist auch ein guter Test für jedes Tool. Wenn eine Funktion viele irrelevante Daten verlangt, solltest du skeptisch werden.

Schrems II heißt auch: Transfer Impact Assessment

Wenn Daten in Drittländer gehen, brauchst du oft eine Transferprüfung. In der Praxis spricht man von einem Transfer Impact Assessment.

Dabei prüfst du:

  1. Welche Daten übertragen werden
  2. Wohin sie gehen
  3. Wer dort Zugriff haben kann
  4. Welche Schutzmaßnahmen existieren
  5. Ob diese Schutzmaßnahmen im Zielland wirklich halten

Für viele Unternehmen ist das neu. Für dich sollte es Standard werden.

Ohne diese Prüfung kaufst du Blindflug. Mit ihr triffst du Entscheidungen auf Basis von Fakten.

Praxis-Tipp: Halte die Prüfung schriftlich fest. Das spart dir später Diskussionen mit Datenschutzbeauftragten oder Prüfern.

Wann du auf EU-native Software setzen solltest

Manchmal ist die beste Lösung nicht die komplizierteste, sondern die sauberste.

Wenn du Bewerberdaten verarbeitest, ist EU-native Software oft die bessere Wahl. Besonders dann, wenn:

  • du in mehreren Ländern rekrutierst
  • du viele Bewerberdaten speicherst
  • du KI-Funktionen nutzt
  • du schnell nachweisen musst, wo Daten liegen
  • du interne Compliance-Kapazitäten begrenzt hast

EU-native bedeutet nicht automatisch perfekt. Aber es reduziert die Zahl der offenen Fragen deutlich.

HireSift ist genau dafür gebaut: europäische Infrastruktur, klare Verträge und ein Setup, das Compliance einfacher macht.

So machst du deine Recruiting-Software prüffest

Wenn du heute starten willst, geh in dieser Reihenfolge vor:

1. Tool-Liste anlegen

Sammle alle Systeme, die Kandidatendaten berühren.

2. Datenflüsse zeichnen

Dokumentiere, welche Daten wohin gehen.

3. Anbieter prüfen

Schau auf Sitz, Subprozessoren und Cloud-Landkarte.

4. Verträge kontrollieren

Prüfe AVV, SCCs und DPA-Anhänge.

5. Risiken bewerten

Frage: Ist der Transfer wirklich nötig?

6. Alternativen prüfen

Kannst du ein EU-natives Tool einsetzen?

7. Löschfristen setzen

Lege fest, wann Daten automatisch verschwinden.

8. Verantwortung klären

Benennung der Owner hilft mehr, als viele denken.

Praxis-Tipp: Mach aus dieser Liste einen wiederkehrenden Quartals-Check.

Was du deinem Team heute sagen solltest

Du brauchst keine Panik. Du brauchst Klarheit.

Sag deinem Team:

  • Wir prüfen jedes Tool einzeln.
  • Wir speichern nur, was nötig ist.
  • Wir vermeiden unnötige Drittlandtransfers.
  • Wir dokumentieren unsere Entscheidungen.
  • Wir bevorzugen EU-native Lösungen, wenn sie passen.

Das ist kein Bremsklotz für Recruiting. Es ist eine Arbeitsgrundlage. Gute Teams arbeiten schneller, wenn die Regeln klar sind.

Fazit: Schrems II ist ein Beschaffungsfilter

Das Urteil ist keine reine Rechtsfrage. Es ist auch ein Einkaufskriterium.

Wenn du Recruiting-Software auswählst, kaufst du nicht nur Funktionen. Du kaufst Datenwege, Verantwortlichkeiten und Risiken mit ein.

Deshalb lohnt sich die Frage: Brauchst du wirklich ein Tool, das in den USA verankert ist? Oder gibt es eine europäische Alternative, die dir denselben Nutzen mit weniger Risiko bietet?

Wenn du deine Recruiting-Software sauber aufstellen willst, beginnt alles mit einer ehrlichen Prüfung. HireSift hilft dir dabei mit EU-Infrastruktur, klaren Verträgen und transparenten Prozessen.

Nächster Schritt: Prüfe noch heute, welche deiner Recruiting-Tools ein Drittlandrisiko haben. Wenn du eine einfachere Lösung willst, teste HireSift kostenlos.

Häufige Fragen

Reicht ein EU-Server für DSGVO-Konformität? Nein. Der Serverstandort ist nur ein Teil der Prüfung. Auch die juristische Zugriffsmacht des Anbieters zählt.

Brauche ich immer Standardvertragsklauseln? Nicht immer. Aber bei Drittlandtransfers sind sie oft ein wichtiger Baustein. Sie müssen aber zusammen mit anderen Maßnahmen bewertet werden.

Ist ein US-Anbieter grundsätzlich verboten? Nein. Aber du musst das Risiko prüfen, dokumentieren und mit geeigneten Maßnahmen absichern.

Weniger screenen. Mehr einstellen.

HireSift analysiert 100 CVs in Minuten — mit zwei transparenten Scores, EU AI Act konform, ohne Kreditkarte.

7 Tage kostenlos testen

Weitere Artikel

EU-Datensouveränität im Recruiting: Was du als Arbeitgeber wirklich wissen musst
Recht & Compliance

EU-Datensouveränität im Recruiting: Was du als Arbeitgeber wirklich wissen musst

Bewerberdaten in US-Clouds speichern? Das ist ein echtes Risiko. Wir erklären, was EU-Datensouveränität im Recruiting bedeutet und wie du dich schützt.

22. April 20267 Min
KI-Screening und Datenschutz in Österreich: Was du als Arbeitgeber wissen musst
Recht & Compliance

KI-Screening und Datenschutz in Österreich: Was du als Arbeitgeber wissen musst

KI im Recruiting ist legal — aber nur mit dem richtigen Datenschutz-Setup. Wir zeigen, was in Österreich gilt und was du konkret tun musst.

22. April 20267 Min