Quelle: https://unsplash.com/de/fotos/hBuwVLcYTnA
Das digitale Bewerbungsverfahren verspricht Tempo, Übersichtlichkeit und einen professionellen ersten Eindruck, zumindest aus Sicht der Unternehmen. Lebensläufe lassen sich in Sekunden einscannen, Tools sortieren Kandidaten nach Schlagworten und mit einem Klick ist das Vorstellungsgespräch per Video terminiert. Doch zwischen all der Effizienz und dem automatisierten Workflow gerät ein Thema gern ins Abseits, und zwar der Datenschutz und der spielt spätestens dann eine Rolle, wenn sensible Informationen nicht nur gespeichert, sondern auch verarbeitet, weitergeleitet oder archiviert werden.
Ob Initiativbewerbung per Onlineformular oder Messenger-Bewerbung mit Sprachnachricht, wo persönliche Daten fließen, greifen klare Regeln. Diese gelten in der Tech-Branche ebenso wie in Bereichen, in denen man sie nicht sofort vermuten würde. Doch unabhängig von Branche oder Unternehmensgröße gilt, dass der Schutz der Bewerberdaten kein freiwilliges Sahnehäubchen ist, sondern eine gesetzlich geregelte Pflicht mit weitreichenden Konsequenzen.
Digitale Bewerbungen und Datenschutz – diese gesetzlichen Grundlagen greifen
Die rechtliche Basis für die Verarbeitung personenbezogener Daten im Bewerbungsprozess liefert auf europäischer Ebene die Datenschutz-Grundverordnung, ergänzt durch das Bundesdatenschutzgesetz. Sobald ein Unternehmen Lebensläufe, Zeugnisse oder Kontaktdaten entgegennimmt, liegt eine Datenverarbeitung im Sinne dieser Vorschriften vor.
Entgegen weitverbreiteter Praxis braucht es dafür keine Einwilligung. Denn Artikel 6 Absatz 1 Buchstabe b der DSGVO erlaubt die Verarbeitung, wenn sie notwendig ist, um vorvertragliche Schritte zu prüfen. Genau das passiert, sobald Bewerbungsunterlagen gesichtet und bewertet werden. Das Bundesdatenschutzgesetz ergänzt diese Regelung, insbesondere in § 26 und erlaubt die Verarbeitung ebenfalls, sofern sie zur Entscheidung über ein Beschäftigungsverhältnis erforderlich ist. Allerdings bleibt das nationale Recht an die Rahmenbedingungen der DSGVO gebunden. Eigenmächtige Sonderwege sind ausgeschlossen, das hat auch der Europäische Gerichtshof klargestellt.
Im Zentrum steht dabei stets die Verhältnismäßigkeit. Nicht jede Information darf erhoben oder gespeichert werden, nur weil sie praktisch erscheint. Maßgeblich ist, ob sie für den Bewerbungsprozess erforderlich ist. Alles andere fällt unter das Prinzip der Datenminimierung.
Branchen mit schärferem Blick und was andere sich abschauen können
In bestimmten Wirtschaftszweigen liegen die Hürden für Datenschutz besonders hoch. Glücksspielanbieter müssen stets legal und sicher sein, um den Wünschen der Spieler zu entsprechen und Unternehmen im Gesundheitswesen verarbeiten regelmäßig sensible Informationen, zum Beispiel Altersnachweise oder Gesundheitsdaten. Dort gelten strengere Regeln, etwa im Umgang mit Identifikationsdokumenten oder bei der Speicherung besonders schützenswerter Kategorien.
Doch auch abseits dieser regulierten Bereiche lohnt sich der Blick auf etablierte Standards. Wer Bewerberdaten sorgfältig verarbeitet, technische Absicherung ernst nimmt und transparente Prozesse etabliert, handelt nicht nur gesetzeskonform, sondern auch vertrauensbildend. Denn der erste Eindruck zählt, nicht nur auf Bewerberseite.
Transparenz ist Pflicht – was Unternehmen offenlegen müssen
Bewerbungsverfahren, so effizient sie auch ablaufen mögen, kommen nicht ohne Aufklärungspflichten aus. Sobald persönliche Daten erhoben werden, muss das Unternehmen offenlegen, was damit geschieht. Diese Informationspflicht ergibt sich aus Artikel 13 der DSGVO und ist zwingend zu erfüllen.
Dazu gehören unter anderem Name und Kontaktdaten des Verantwortlichen, gegebenenfalls auch des Datenschutzbeauftragten, der Zweck der Verarbeitung, die gesetzliche Grundlage, die geplante Speicherdauer sowie mögliche Empfänger oder Empfängerkategorien. Auch die Betroffenenrechte müssen genannt werden. Dazu zählt das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung und Widerspruch. Ebenso wichtig ist der Hinweis auf das Beschwerderecht bei der zuständigen Aufsichtsbehörde.
Wer diese Informationen gut sichtbar platziert, etwa in der Eingangsbestätigung oder direkt im Bewerbungsformular, macht vieles richtig. Versteckte Hinweise in AGB-ähnlichen Textwüsten oder schwer auffindbare Datenschutzerklärungen gelten nicht als ausreichend. Die Transparenzpflicht verlangt Klarheit und die lässt sich am besten durch einfache Sprache und eindeutige Formulierungen erreichen.
Vom Bewerbungseingang bis zur Datenlöschung – so lange dürfen Informationen aufbewahrt bleiben
Nach Abschluss eines Bewerbungsverfahrens stellt sich schnell die Frage nach der Aufbewahrung. Ein Rückgriff auf vielversprechende Kandidaten zu einem späteren Zeitpunkt ist nachvollziehbar. Liegt keine Einwilligung vor, dürfen personenbezogene Daten maximal sechs Monate gespeichert bleiben. Diese Frist orientiert sich unter anderem an möglichen Klagezeiträumen nach dem Allgemeinen Gleichbehandlungsgesetz.
Nach Ablauf der Frist ist eine vollständige und sichere Löschung erforderlich. Das bloße Verschieben in einen Archivordner genügt nicht. Wer Bewerbungsunterlagen darüber hinaus behalten möchte, etwa für einen Talentpool, braucht eine gesonderte Einwilligung. Diese darf nicht an die laufende Bewerbung gekoppelt sein und muss jederzeit widerrufen werden können.
Empfehlenswert ist es, regelmäßig zu prüfen, ob die gespeicherten Daten noch aktuell oder überhaupt noch erforderlich sind. Einmal im Pool heißt nicht für immer gespeichert und genau diese Kontrolle wird in der Praxis häufig unterschätzt.
Wenn Technik zum Risiko wird – darauf kommt es bei Tools und Übertragungswegen an
Technische Systeme erleichtern das Bewerbermanagement erheblich. Onlineformulare, Bewerberdatenbanken oder Videointerview-Software gehören in vielen Unternehmen zum Alltag. Gleichzeitig entsteht durch diese Tools ein erhebliches Risiko, wenn sie nicht korrekt eingebunden sind. Bereits bei der Übertragung der Daten sollte eine Verschlüsselung aktiv sein, zum Beispiel per HTTPS-Protokoll. Auch der Zugriff innerhalb des Unternehmens muss klar geregelt sein, idealerweise durch rollenbasierte Berechtigungskonzepte.
Zunehmend setzen Unternehmen auf alternative Bewerbungswege. Messenger-Dienste wie WhatsApp oder Signal werden dabei ebenso genutzt wie Recruiting-Apps mit Chatfunktion. Doch der Einsatz solcher Kommunikationswege ist datenschutzrechtlich nur dann unbedenklich, wenn geeignete Sicherheitsmaßnahmen greifen und Bewerbende vorab informiert wurden. Eine Einwilligung allein genügt nicht, wenn der Anbieter personenbezogene Daten außerhalb der EU verarbeitet oder keine Auftragsverarbeitungsvereinbarung vorliegt.
Automatisierte Auswahlverfahren, KI und Online-Recherche
Die Digitalisierung macht auch vor dem Recruiting nicht halt. Immer mehr Unternehmen testen automatisierte Auswahlsysteme, bei denen künstliche Intelligenz Bewerbungen vorsortiert oder Matching-Algorithmen im Hintergrund mitlaufen. Genau solche Anwendungen gelten nach der geplanten EU-KI-Verordnung als Hochrisikotechnologien und das nicht ohne Grund.
Denn sobald Entscheidungen weitgehend automatisiert getroffen werden, etwa durch ein KI-System, das Bewerber einstuft oder ablehnt, ist höchste Vorsicht geboten. Die DSGVO verlangt in solchen Fällen menschliche Aufsicht, Transparenz über die Entscheidungskriterien und eine sorgfältige Abwägung der Folgen. Auch eine Datenschutz-Folgenabschätzung kann erforderlich sein.
Was bei Verstößen passiert und welche Rechte Bewerber geltend machen können
Sobald personenbezogene Daten fehlerhaft verarbeitet, verloren oder unberechtigt weitergegeben werden, liegt ein Datenschutzverstoß vor. In solchen Fällen können Unternehmen verpflichtet sein, nicht nur die Aufsichtsbehörde zu informieren, sondern auch die betroffene Person. Die DSGVO gewährt umfassende Rechte. Bewerbende dürfen Auskunft verlangen, ihre Daten korrigieren oder löschen lassen, Einschränkungen fordern oder der Verarbeitung widersprechen. Werden diese Rechte missachtet, drohen Sanktionen. Bußgelder können erhebliche Summen erreichen, je nach Art und Umfang des Verstoßes.