HR-Teams müssen Bewerberdaten auf einer klaren Rechtsgrundlage erheben, zweckgebunden verarbeiten, in der Regel einige Monate nach Absage löschen und bei eingesetzter HR-Software einen belastbaren Auftragsverarbeitungsvertrag abschließen. Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) setzen dafür den Rahmen, und Aufsichtsbehörden nehmen den HR-Bereich erfahrungsgemäß genau in den Blick. Datenschutz ist damit kein Nebenschauplatz der IT, er gehört zum Kern professioneller Personalarbeit.

Warum HR-Datenschutz besondere Aufmerksamkeit verdient

Die Bewerberauswahl gehört zu den datenintensivsten Prozessen im Unternehmen. Ein durchschnittliches Bewerbungsverfahren umfasst Anschreiben, Lebenslauf, Zeugnisse, oft Fotos und teilweise Angaben, die nur dann erhoben werden dürfen, wenn die Stelle dies rechtfertigt. Hinzu kommen Daten, die im Prozess selbst entstehen, etwa Interviewprotokolle, Bewertungen, Korrespondenz und Auswertungen aus Assessment-Tools. Sobald HR-Software eingesetzt wird, kommen technische Datenpunkte wie Logins, IP-Adressen, Klickverhalten und Speicherorte hinzu.

Aufsichtsbehörden weisen in ihren Tätigkeitsberichten regelmäßig auf den Beschäftigtendatenschutz als relevantes Prüffeld hin. Beanstandungen wegen zu langer Speicherung von Bewerberdaten, fehlender Rechtsgrundlagen oder unzulässiger Hintergrundrecherchen treten in der Praxis wiederholt auf. Wer als HR-Verantwortlicher auf belastbare Strukturen setzt, schützt nicht nur Bewerberinnen und Bewerber, sondern auch das Unternehmen selbst. Eine spezialisierte Kanzlei in Passau wie die WITTMANN Rechtsanwaltsgesellschaft begleitet Unternehmen an dieser Schnittstelle aus IT-Recht, Datenschutz und Vertragsgestaltung.

Rechtsgrundlagen für jeden Verarbeitungsschritt

Ein häufiger Fehler in HR-Prozessen ist eine unklare oder zu pauschal gewählte Rechtsgrundlage. Für die Verarbeitung klassischer Bewerberdaten wie Lebenslauf, Anschreiben, Zeugnisse und Kontaktdaten kommt in der Regel Art. 6 Abs. 1 lit. b DSGVO in Betracht, weil die Verarbeitung zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In Deutschland ist zusätzlich § 26 Abs. 1 BDSG zu beachten, der die Datenverarbeitung für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses regelt.

Sobald Daten verarbeitet werden, die über das für die konkrete Stellenbesetzung Erforderliche hinausgehen, muss die Rechtsgrundlage gesondert geprüft werden. Das betrifft etwa Persönlichkeitstests, umfangreiche Social-Media-Recherchen oder die Aufnahme in einen Talentpool. Gerade die längere Speicherung für spätere Stellenbesetzungen sollte nur mit einer ausdrücklichen, informierten und jederzeit widerruflichen Einwilligung erfolgen.

Einwilligungen im Bewerbungsverhältnis sind besonders sensibel, weil zwischen Unternehmen und Bewerber ein strukturelles Ungleichgewicht bestehen kann. Sie müssen freiwillig, konkret, informiert und widerruflich sein. Eine vorausgewählte Checkbox im Bewerbungsformular oder eine pauschale Einwilligung zur „Datenverarbeitung im Auswahlprozess“ reicht dafür nicht aus.

Speicherdauer: Wann müssen Bewerberdaten gelöscht werden?

Die wohl praxisrelevanteste Frage betrifft die Aufbewahrungsfristen. Nach gängiger Auffassung der Aufsichtsbehörden gilt:

• Während des laufenden Verfahrens: Die Speicherung ist durch den Auswahlzweck gedeckt.
• Nach Absage: Daten werden in der Praxis regelmäßig noch einige Monate aufbewahrt, um etwaige Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) abwehren zu können. Die Frist zur Geltendmachung von Ansprüchen nach § 15 Abs. 4 AGG beträgt zwei Monate, hinzu kommt ein angemessener Sicherheitspuffer für eine mögliche Klageerhebung.
• Talentpool: Eine längere Speicherung ist nur mit ausdrücklicher, dokumentierter Einwilligung zulässig, idealerweise mit konkretem Zeithorizont und klarem Widerrufshinweis.

Wer Bewerberdaten dauerhaft im Bewerbermanagement-System liegen lässt, weil „man sie ja vielleicht noch einmal brauchen könnte”, verstößt gegen den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO. Automatisierte Löschroutinen im HR-Tool sind hier kein Luxus, sondern Pflichtprogramm.

HR-Software und Auftragsverarbeitung, der unterschätzte Vertragsbaustein

Sobald ein externes Bewerbermanagement-, HR- oder Payroll-System eingesetzt wird, liegt regelmäßig eine Auftragsverarbeitung nach Art. 28 DSGVO vor. Der Anbieter verarbeitet personenbezogene Daten im Auftrag des Unternehmens, und genau dafür braucht es einen Auftragsverarbeitungsvertrag (AVV). In der Praxis werden AVVs oft als formaler Anhang abgehakt, ohne dass die enthaltenen Pflichten tatsächlich gelebt werden.

Worauf Sie bei der Auswahl und Vertragsgestaltung achten sollten:

• Serverstandort und Drittlandtransfer: Wird ausschließlich in der EU verarbeitet oder fließen Daten in Drittländer wie die USA? Seit dem Schrems-II-Urteil des EuGH und dem EU-US Data Privacy Framework sind hier zusätzliche Prüfungen nötig.
• Subunternehmer: Welche Subdienstleister werden eingesetzt, und ist die Liste transparent und aktuell?
• Technische und organisatorische Maßnahmen (TOM): Verschlüsselung, Zugriffskontrolle, Protokollierung, Lösch- und Backup-Konzepte müssen konkret beschrieben sein.
• Meldewege bei Datenpannen: Der Anbieter muss vertraglich verpflichtet sein, Vorfälle unverzüglich zu melden, damit der Verantwortliche die 72-Stunden-Frist nach Art. 33 DSGVO einhalten kann.

KI im Recruiting: Neue Pflichten durch den AI Act

KI-gestützte Tools im Recruiting, etwa für CV-Screening, Matching, Sprachanalyse oder Video-Assessments, stehen rechtlich unter besonderer Beobachtung. Der EU AI Act stuft KI-Systeme, die im Beschäftigungskontext für Personalentscheidungen wie Auswahl, Beförderung oder Beendigung eingesetzt werden, grundsätzlich als Hochrisiko-Systeme ein (Anhang III). Das bedeutet konkret eine dokumentierte Risikobewertung, eine transparente Funktionsweise, menschliche Aufsicht über automatisierte Entscheidungen und klare Informationspflichten gegenüber Bewerbenden.

Parallel gilt Art. 22 DSGVO. Eine ausschließlich automatisierte Entscheidung mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung, etwa eine automatische Absage ohne menschliche Prüfung, ist grundsätzlich unzulässig. Wer KI-Scoring einsetzt, muss sicherstellen, dass am Ende ein Mensch die Auswahlentscheidung trifft und diese auch begründen kann. Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist in diesen Fällen regelmäßig erforderlich.

Informationspflichten: Was Bewerbende wissen müssen

Nach Art. 13 DSGVO müssen Sie Bewerbende zum Zeitpunkt der Datenerhebung umfassend informieren. Eine versteckte Datenschutzerklärung im Footer reicht nicht. Bewährt hat sich eine eigene Datenschutzinformation für den Bewerbungsprozess, die folgende Punkte abdeckt:

• Verantwortlicher und Kontakt der oder des Datenschutzbeauftragten
• Zwecke und Rechtsgrundlagen der Verarbeitung
• Empfänger (z. B. eingesetzte HR-Software, Personalberatungen, Fachbereiche)
• Speicherdauer und Löschfristen
• Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch, Beschwerderecht)
• Hinweis auf etwaige automatisierte Entscheidungsfindung

Typische Risiken im HR-Alltag

In Beratungsmandaten zeigen sich immer wieder ähnliche Schwachstellen. Bewerbungsunterlagen, die per unverschlüsselter E-Mail im Postfach einzelner Recruiter liegen bleiben. Excel-Listen mit Bewerberdaten auf lokalen Laufwerken. Active-Sourcing-Profile, die ohne dokumentierte Rechtsgrundlage gespeichert werden. Personalakten, in denen Abmahnungen oder Krankheitsdaten ohne Löschkonzept dauerhaft verbleiben. Und schließlich HR-Tools, die ohne saubere Einbindung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG eingeführt werden.

Jedes dieser Themen ist für sich genommen lösbar, in Summe entstehen aber Haftungsrisiken, die Unternehmen oft erst im Konfliktfall bemerken. Eine rechtliche Begleitung bei der Auswahl von HR-Software, der Gestaltung von Auftragsverarbeitungsverträgen und der Erstellung von Lösch- und Berechtigungskonzepten zahlt sich daher schon präventiv aus.

Was HR-Teams jetzt konkret tun sollten

Ein praxistauglicher Datenschutzfahrplan für HR-Abteilungen umfasst überschaubare, aber wirksame Schritte:

1. Verarbeitungsverzeichnis aktualisieren: Alle HR-Prozesse mit personenbezogenen Daten erfassen, Rechtsgrundlagen und Löschfristen dokumentieren.
2. AVVs überprüfen: Verträge mit allen HR-Software-Anbietern auf Aktualität, Drittlandtransfer und TOM prüfen.
3. Löschroutinen einrichten: Automatisierte, fristgerechte Löschung abgelehnter Bewerbungen sowie Einwilligungsmanagement für Talentpools.
4. Datenschutzinformation für Bewerbende überarbeiten: Klar, verständlich, vollständig und am Erhebungspunkt sichtbar.
5. KI-Tools bewerten: Risikoeinstufung nach AI Act, Datenschutz-Folgenabschätzung, menschliche Letztentscheidung sicherstellen.
6. Schulungen verankern: Recruiterinnen und Recruiter sowie HR-Business-Partner regelmäßig zu Datenschutz, AGG und vertraulicher Kommunikation schulen.

Fazit: Datenschutz als Qualitätsmerkmal moderner HR-Arbeit

Datenschutz im Recruiting ist längst kein abstraktes Compliance-Thema mehr, sondern ein sichtbarer Teil der Arbeitgebermarke. Bewerbende achten zunehmend darauf, wie transparent und respektvoll mit ihren Daten umgegangen wird. Unternehmen, die ihre Prozesse sauber aufsetzen, profitieren doppelt. Sie reduzieren rechtliche Risiken und stärken ihre Positionierung als professioneller, vertrauenswürdiger Arbeitgeber. Wer die rechtlichen Anforderungen früh in die Auswahl von HR-Software, in die Vertragsgestaltung und in das Prozessdesign einbindet, vermeidet teure Nachbesserungen und schafft eine belastbare Grundlage für ein Recruiting, das effizient und rechtssicher zugleich ist.