datenschutz bei bewerbungsunterlagen

Datenschutz bei Bewerbungsunterlagen

/ Allgemein, Datenschutz

Warum der Datenschutz bei Bewerbungsunterlagen für Ihr Unternehmen essentiell ist

Der Bewerbungsprozess ist für jedes Unternehmen ein sensibler Bereich – nicht nur aus personeller, sondern auch aus rechtlicher Perspektive. Täglich gehen bei Arbeitgebern zahlreiche Bewerbungen ein, die umfangreiche personenbezogene Daten enthalten: von Lebensläufen mit detailliertem Werdegang über Zeugnisse bis hin zu Lichtbildern und teilweise sogar Gesundheitsdaten.

Viele Unternehmen unterschätzen die datenschutzrechtlichen Anforderungen im Bewerbungsverfahren. Die Konsequenzen eines fehlerhaften Umgangs mit Bewerberdaten können jedoch gravierend sein: Neben empfindlichen Bußgeldern drohen Schadensersatzansprüche der Bewerber, Reputationsschäden und aufwändige Auseinandersetzungen mit Datenschutzbehörden.

Die DSGVO stellt klare Anforderungen an die Verarbeitung von Bewerberdaten. Diese Anforderungen betreffen sämtliche Phasen des Bewerbungsprozesses: von der Stellenausschreibung über die Verwaltung eingegangener Unterlagen bis zur Löschung nach Abschluss des Verfahrens.

Als Unternehmen tragen Sie die Verantwortung dafür, dass Bewerberdaten rechtmäßig verarbeitet, sicher aufbewahrt und fristgerecht gelöscht werden. Ein strukturiertes Bewerbermanagement, das datenschutzrechtliche Vorgaben von Anfang an berücksichtigt, schützt nicht nur Ihr Unternehmen vor rechtlichen Risiken, sondern signalisiert auch Professionalität gegenüber potentiellen Mitarbeitern.

Kontakt aufnehmen
Inhaltsübersicht
  1. Warum der Datenschutz bei Bewerbungsunterlagen für Ihr Unternehmen essentiell ist
  2. Das Wichtigste im Überblick
  3. Rechtliche Grundlagen
  4. Zulässige Datenerhebung: Was Sie abfragen dürfen und was nicht
  5. Technische und organisatorische Maßnahmen im Bewerbermanagement
  6. Aufbewahrungsfristen und Löschpflichten
  7. Praktische Tipps für rechtssicheres Bewerbermanagement
  8. Checkliste: Datenschutzkonforme Bewerbungsverwaltung
  9. Datenschutz als Qualitätsmerkmal im Recruiting
  10. Häufig gestellte Fragen 

Das Wichtigste im Überblick

  • Bewerberdaten sind besonders sensible personenbezogene Daten, die dem vollen Schutz der DSGVO unterliegen – Verstöße können Bußgelder nach sich ziehen
  • Rechtmäßige Datenverarbeitung erfordert klare Rechtsgrundlagen
  • Löschfristen sind verbindlich: Abgelehnte Bewerbungen müssen grundsätzlich nach spätestens 6 Monaten gelöscht werden, bei Einwilligung in den Talentpool gelten längere Aufbewahrungsfristen

Rechtliche Grundlagen

Die maßgeblichen Rechtsgrundlagen

Die Verarbeitung von Bewerberdaten unterliegt einem komplexen rechtlichen Rahmen. Art. 6 DSGVO greift als Rechtsgrundlage, wenn die Datenverarbeitung zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Dies umfasst alle Informationen, die Sie als Arbeitgeber benötigen, um zu beurteilen, ob ein Bewerber für die ausgeschriebene Position geeignet ist.

Das Prinzip der Erforderlichkeit

Entscheidend ist das Erforderlichkeitsprinzip: Sie dürfen nur solche Daten erheben, die für die Beurteilung der Eignung des Bewerbers objektiv notwendig sind. Die Anforderungen leiten sich aus der konkreten Stellenbeschreibung ab. Ein Lichtbild dürfen Sie beispielsweise nur dann verlangen, wenn es für die Position tatsächlich erforderlich ist – etwa bei repräsentativen Tätigkeiten.

Besondere Kategorien personenbezogener Daten

Besondere Vorsicht gilt bei sensiblen Daten nach Art. 9 DSGVO. Dazu gehören Informationen über die Gesundheit, ethnische Herkunft, religiöse Überzeugungen oder Gewerkschaftszugehörigkeit. Diese Daten dürfen grundsätzlich nicht abgefragt werden, es sei denn, es liegt eine ausdrückliche Einwilligung vor oder die Verarbeitung ist zur Ausübung von Rechten aus dem Arbeitsrecht zwingend erforderlich.

Informationspflichten gegenüber Bewerbern

Nach Art. 13 DSGVO müssen Sie jeden Bewerber umfassend über die Datenverarbeitung informieren. Diese Informationspflicht umfasst unter anderem:

  • Die Identität des Verantwortlichen und des Datenschutzbeauftragten
  • Die Zwecke der Datenverarbeitung und die Rechtsgrundlage
  • Die Kategorien von Empfängern der Daten
  • Die Dauer der Speicherung
  • Die Rechte des Bewerbers (Auskunft, Berichtigung, Löschung, etc.)

Zulässige Datenerhebung: Was Sie abfragen dürfen und was nicht

Zulässige Fragen im Bewerbungsprozess

Im Bewerbungsverfahren dürfen Sie alle Informationen erheben, die zur Beurteilung der fachlichen und persönlichen Eignung des Bewerbers erforderlich sind. Dazu gehören typischerweise:

Kontaktdaten: Name, Anschrift, Telefonnummer und E-Mail-Adresse sind selbstverständlich zulässig, da ohne diese Daten keine Kommunikation möglich wäre.

Qualifikationsnachweise: Zeugnisse, Ausbildungsnachweise, Studienabschlüsse und Fortbildungszertifikate sind für die Eignungsbeurteilung meist unerlässlich. Sie dürfen diese Dokumente anfordern und im Rahmen des Bewerbungsverfahrens prüfen.

Beruflicher Werdegang: Der Lebenslauf mit bisherigen beruflichen Stationen, Tätigkeitsbeschreibungen und zeitlichen Angaben bildet die Grundlage für die Eignungsbewertung.

Gehaltsvorstellungen: Die Frage nach den Gehaltsvorstellungen ist zulässig, da sie für die Entscheidung über eine Einstellung relevant sein kann.

Unzulässige Fragen und kritische Bereiche

Bestimmte Informationen dürfen Sie hingegen nicht oder nur unter sehr eingeschränkten Bedingungen abfragen:

Familienplanung und Schwangerschaft: Fragen nach einer bestehenden Schwangerschaft, Kinderwunsch oder Familienplanung sind grundsätzlich unzulässig. Selbst wenn eine Schwangerschaft die Arbeitsleistung beeinträchtigen könnte, rechtfertigt dies keine entsprechende Frage. 

Gewerkschaftszugehörigkeit: Die Mitgliedschaft in einer Gewerkschaft ist eine besonders geschützte Information. Sie dürfen nicht danach fragen, und Bewerber sind nicht verpflichtet, diese Information anzugeben.

Vorstrafen: Nur bei bestimmten Positionen, bei denen ein Führungszeugnis objektiv erforderlich ist (etwa im Sicherheitsbereich oder bei Tätigkeiten mit Kindern), dürfen Sie die Vorlage eines Führungszeugnisses verlangen.

Vermögensverhältnisse: Fragen nach den Vermögensverhältnissen, Schulden oder Kontopfändungen sind nur in Ausnahmefällen zulässig – etwa bei Positionen mit erheblicher Vermögensverantwortung oder im Finanzbereich, wo die Bonität tatsächlich relevant sein kann.

Technische und organisatorische Maßnahmen im Bewerbermanagement

Sichere Speicherung von Bewerbungsunterlagen

Die technische Sicherheit bei der Speicherung von Bewerberdaten ist ein zentraler Aspekt der Datenschutz-Compliance. Bewerbungsunterlagen enthalten hochsensible persönliche Informationen, die vor unbefugtem Zugriff geschützt werden müssen.

Digitale Bewerbungen: Wenn Sie Bewerbungen per E-Mail oder über Online-Formulare entgegennehmen, müssen diese auf sicheren Servern gespeichert werden. Der Zugriff sollte ausschließlich den mit dem Bewerbungsverfahren betrauten Mitarbeitern möglich sein – idealerweise über ein rollenbasiertes Berechtigungskonzept.

E-Mail-Bewerbungen: Besondere Vorsicht ist bei E-Mail-Bewerbungen geboten. Diese sollten nicht in allgemeinen Postfächern verbleiben, auf die mehrere Mitarbeiter Zugriff haben. Richten Sie idealerweise ein dediziertes Bewerbungspostfach ein und definieren Sie klare Zugriffsrechte.

Papierbewerbungen: Auch klassische Bewerbungsmappen müssen geschützt werden. Sie sollten in verschlossenen Schränken aufbewahrt werden, zu denen nur autorisierte Personen Zugang haben. Nach Abschluss des Verfahrens ist eine sichere Vernichtung erforderlich.

Zugriffskontrollen und Berechtigungsmanagement

Nicht jeder Mitarbeiter im Unternehmen sollte Zugang zu Bewerberdaten haben. Definieren Sie klar, wer im Bewerbungsprozess involviert ist:

  • Personalverantwortliche, die die Unterlagen sichten
  • Fachvorgesetzte, die die fachliche Eignung beurteilen
  • Geschäftsführung bei Führungspositionen
  • Datenschutzbeauftragter für Kontrollen

Alle anderen Mitarbeiter sollten keinen Zugriff auf Bewerbungsunterlagen erhalten. Dies gilt auch für Empfangsmitarbeiter oder IT-Administratoren, die technischen Zugang zu Systemen haben.

Verschlüsselung und sichere Übertragung

Wenn Sie Bewerbungen per E-Mail entgegennehmen, sollten Sie auf Ihrer Website darauf hinweisen, dass sensible Daten per E-Mail grundsätzlich unsicher übertragen werden. Bieten Sie Alternativen an:

  • Bewerbungsformulare auf einer SSL-verschlüsselten Website
  • Upload-Möglichkeiten über verschlüsselte Portale
  • Hinweise auf die Möglichkeit, Bewerbungsunterlagen postalisch einzureichen

Aufbewahrungsfristen und Löschpflichten

Grundsätze der Datenspeicherung

Nach Art. 5 DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet wurden, erforderlich ist. Für Bewerberdaten bedeutet dies: Sobald das Bewerbungsverfahren abgeschlossen ist, entfällt grundsätzlich die Rechtsgrundlage für die weitere Speicherung.

Löschfristen bei abgelehnten Bewerbungen

Bei Bewerbern, die Sie nicht einstellen, müssen Sie die Unterlagen zeitnah löschen. Als Faustregel gilt eine Aufbewahrungsfrist von maximal 6 Monaten nach Abschluss des Bewerbungsverfahrens. Diese Frist ermöglicht es Bewerbern, eventuelle Ansprüche wegen Diskriminierung geltend zu machen.

Abschluss des Bewerbungsverfahrens ist in der Regel der Zeitpunkt, zu dem Sie die Absage versenden. Ab diesem Moment beginnt die sechsmonatige Frist zu laufen. Nach Ablauf dieser Frist müssen Sie die Bewerbungsunterlagen vollständig löschen oder vernichten.

Talentpool und längere Aufbewahrung

Viele Unternehmen möchten qualifizierte Bewerber, die für die aktuelle Position nicht geeignet waren, für zukünftige Vakanzen im Blick behalten. Dies ist datenschutzrechtlich nur mit ausdrücklicher Einwilligung des Bewerbers zulässig.

Die Einwilligung muss folgende Anforderungen erfüllen:

  • Sie muss freiwillig erteilt werden
  • Der Bewerber muss klar über den Zweck informiert werden
  • Es muss eine konkrete Speicherdauer genannt werden 
  • Der Bewerber muss jederzeit die Möglichkeit haben, die Einwilligung zu widerrufen

Aufbewahrung bei eingestellten Bewerbern

Bei Bewerbern, die Sie einstellen, werden die Bewerbungsunterlagen Teil der Personalakte. Hier gelten die allgemeinen Aufbewahrungsfristen für Personaldaten. Nach Beendigung des Arbeitsverhältnisses müssen auch diese Unterlagen irgendwann gelöscht werden, wobei steuerrechtliche und sozialversicherungsrechtliche Aufbewahrungsfristen zu beachten sind.

Praktische Umsetzung der Löschpflichten

Die Löschung muss systematisch erfolgen. Richten Sie in Ihrem Unternehmen ein System ein, das automatisch daran erinnert, wenn Löschfristen ablaufen. Bei digitalen Bewerbungen können Sie automatisierte Löschprozesse einrichten. Bei Papierbewerbungen sollten Sie ein Register führen, das die Aufbewahrungsfristen dokumentiert.

Wichtig ist die vollständige Löschung: Löschen Sie nicht nur die E-Mails und Hauptdokumente, sondern auch Kopien, Notizen aus Vorstellungsgesprächen und alle sonstigen Aufzeichnungen über den Bewerber.

Praktische Tipps für rechtssicheres Bewerbermanagement

1. Datenschutz-Hinweise in Stellenausschreibungen

Integrieren Sie bereits in jeder Stellenanzeige einen prägnanten Datenschutzhinweis. Dieser sollte Bewerber darüber informieren:

  • Wer für die Datenverarbeitung verantwortlich ist
  • Zu welchem Zweck die Daten verarbeitet werden
  • Auf welcher Rechtsgrundlage die Verarbeitung erfolgt
  • Wie lange die Daten gespeichert werden
  • Welche Rechte der Bewerber hat

2. Standardisierte Prozesse etablieren

Entwickeln Sie klare interne Richtlinien für das Bewerbungsverfahren:

  • Wer darf auf Bewerbungen zugreifen?
  • Wie werden Bewerbungen intern weitergeleitet?
  • Wie werden Gesprächsnotizen dokumentiert?
  • Wann und wie werden Absagen verschickt?
  • Wie werden Löschfristen überwacht?

Schulen Sie alle beteiligten Mitarbeiter regelmäßig zu diesen Prozessen.

3. Dokumentation der Verarbeitungstätigkeiten

Führen Sie ein Verzeichnis der Verarbeitungstätigkeiten, in dem der gesamte Bewerbungsprozess dokumentiert ist. Dieses Verzeichnis sollte enthalten:

  • Zweck der Datenverarbeitung
  • Kategorien betroffener Personen (Bewerber)
  • Kategorien personenbezogener Daten
  • Kategorien von Empfängern
  • Technische und organisatorische Maßnahmen

4. Einwilligungserklärungen rechtssicher gestalten

Wenn Sie eine Einwilligung für den Talentpool einholen, achten Sie auf folgende Aspekte:

  • Separate, eindeutige Erklärung
  • Konkrete Angabe des Zwecks und der Speicherdauer
  • Hinweis auf das jederzeitige Widerrufsrecht
  • Freiwilligkeit muss erkennbar sein
  • Keine Kopplung an die Teilnahme am Bewerbungsverfahren

5. Sensibilisierung der Führungskräfte

Führungskräfte, die an Bewerbungsgesprächen teilnehmen, sollten geschult werden:

  • Welche Fragen sind zulässig, welche nicht?
  • Wie werden Gesprächsnotizen datenschutzkonform erstellt?
  • Wie gehen wir mit sensiblen Informationen um, die Bewerber freiwillig preisgeben?

6. Regelmäßige Überprüfung der Löschfristen

Richten Sie ein System ein, das automatisch oder manuell überprüft, wann Löschfristen ablaufen:

  • Quartalsmäßige Durchsicht aller Bewerbungen, bei denen die 6-Monats-Frist abläuft
  • Automatische Erinnerungen bei digitalen Systemen
  • Protokollierung der durchgeführten Löschungen

7. Externe Dienstleister einbinden

Falls Sie externe Dienstleister für das Bewerbermanagement nutzen (z.B. Bewerbermanagement-Software, Personalberater), müssen Sie:

  • Auftragsverarbeitungsverträge nach Art. 28 DSGVO abschließen
  • Die technischen und organisatorischen Maßnahmen des Dienstleisters prüfen
  • Regelmäßig kontrollieren, ob der Dienstleister die Vorgaben einhält

Checkliste: Datenschutzkonforme Bewerbungsverwaltung

Vor dem Bewerbungsverfahren:

  • Stellenausschreibung enthält Datenschutzhinweise
  • Verlinkte ausführliche Datenschutzerklärung für Bewerber ist vorhanden
  • Dediziertes Bewerbungspostfach mit eingeschränkten Zugriffsrechten eingerichtet
  • Auftragsverarbeitungsverträge mit allen externen Dienstleistern geschlossen
  • Technische Sicherheitsmaßnahmen implementiert (Verschlüsselung, Zugriffskontrollen)

Während des Bewerbungsverfahrens:

  • Nur erforderliche Daten werden erhoben
  • Keine unzulässigen Fragen in Bewerbungsgesprächen
  • Gesprächsnotizen werden datenschutzkonform erstellt
  • Interne Weiterleitungen erfolgen verschlüsselt oder über geschützte Systeme
  • Bei Online-Recherchen nur zulässige Quellen nutzen
  • Bewerberrechte (Auskunft, Berichtigung, Löschung) können erfüllt werden

Nach Abschluss des Bewerbungsverfahrens:

  • Absagen werden zeitnah verschickt
  • Löschfrist von 6 Monaten wird dokumentiert
  • Bei Talentpool: Einwilligung wurde eingeholt und dokumentiert
  • System zur Überwachung von Löschfristen ist etabliert
  • Dokumentation der durchgeführten Löschungen

Allgemeine Compliance:

  • Verzeichnis der Verarbeitungstätigkeiten für Bewerbermanagement erstellt
  • Datenschutzbeauftragter ist benannt und in Prozesse eingebunden
  • Mitarbeiter sind geschult
  • Interne Richtlinien sind dokumentiert und zugänglich
  • Regelmäßige Überprüfung der Prozesse erfolgt

Datenschutz als Qualitätsmerkmal im Recruiting

Der datenschutzkonforme Umgang mit Bewerbungsunterlagen ist keine lästige Pflicht, sondern ein Qualitätsmerkmal professioneller Personalabteilungen. Unternehmen, die den Datenschutz ernst nehmen, signalisieren Bewerbern Professionalität, Wertschätzung und Vertrauenswürdigkeit.

Die rechtlichen Anforderungen mögen auf den ersten Blick komplex erscheinen, lassen sich aber mit strukturierten Prozessen und klaren Verantwortlichkeiten gut umsetzen. Entscheidend ist, dass Sie das Thema nicht auf die leichte Schulter nehmen: Die Aufsichtsbehörden kontrollieren verstärkt, und die Bußgelder können erheblich sein.

Investieren Sie in datenschutzkonforme Prozesse und Systeme. Dies schützt nicht nur vor rechtlichen Risiken, sondern verbessert auch die Candidate Experience und stärkt Ihr Employer Branding. Bewerber, die sehen, dass ihre Daten sorgfältig behandelt werden, entwickeln ein positiveres Bild Ihres Unternehmens – unabhängig davon, ob sie eingestellt werden oder nicht.

Die wichtigsten Erfolgsfaktoren sind:

  • Klare interne Prozesse und Verantwortlichkeiten
  • Regelmäßige Schulungen der beteiligten Mitarbeiter
  • Technische Systeme, die Datenschutz von Anfang an berücksichtigen
  • Transparente Kommunikation mit Bewerbern
  • Konsequente Einhaltung von Löschfristen

Häufig gestellte Fragen 

Wie lange dürfen wir Bewerbungsunterlagen aufbewahren?

Abgelehnte Bewerbungen dürfen maximal 6 Monate nach Abschluss des Bewerbungsverfahrens aufbewahrt werden. Diese Frist ermöglicht es Bewerbern, eventuelle Diskriminierungsansprüche geltend zu machen. Für längere Aufbewahrungen benötigen Sie eine ausdrückliche Einwilligung des Bewerbers.

Dürfen wir in sozialen Netzwerken nach Bewerbern recherchieren?

Berufliche Netzwerke wie LinkedIn oder XING dürfen Sie nutzen, da Nutzer dort bewusst berufsbezogene Informationen öffentlich machen. Private Profile auf Facebook, Instagram oder anderen sozialen Medien sollten Sie nicht durchsuchen, da dies datenschutzrechtlich problematisch ist und zu Diskriminierungsvorwürfen führen kann.

Was passiert, wenn wir die Löschfristen nicht einhalten?

Verstöße gegen Löschpflichten können mit erheblichen Bußgeldern geahndet werden. Zusätzlich drohen Reputationsschäden und zivilrechtliche Ansprüche der betroffenen Bewerber.

Müssen wir einen Datenschutzbeauftragten bestellen?

Ein Datenschutzbeauftragter ist verpflichtend, wenn in Ihrem Unternehmen mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Da auch Bewerberdaten besonders sensible personenbezogene Daten sein können, kann die Bestellungspflicht auch bei kleineren Unternehmen greifen, wenn umfangreiches Bewerbermanagement betrieben wird.

Wie gehen wir mit Bewerbungsfotos um?

Bewerbungsfotos sind grundsätzlich nicht erforderlich für die Eignungsbeurteilung. Weisen Sie in Stellenanzeigen darauf hin, dass Fotos freiwillig sind. Wenn Bewerber dennoch Fotos einreichen, dürfen Sie diese entgegennehmen, aber niemanden benachteiligen, der kein Foto beifügt. Nach Abschluss des Verfahrens gelten auch für Fotos die regulären Löschfristen.

Dürfen wir Bewerbungen per E-Mail entgegennehmen?

Ja, E-Mail-Bewerbungen sind zulässig. Sie sollten jedoch auf Ihrer Website darauf hinweisen, dass E-Mails grundsätzlich unsicher sind. Bieten Sie alternative Bewerbungswege an und verwenden Sie ein dediziertes Bewerbungspostfach mit eingeschränkten Zugriffsrechten.

Was müssen wir bei Videointerviews beachten?

Videointerviews dürfen aufgezeichnet werden, jedoch nur mit ausdrücklicher Einwilligung des Bewerbers. Die verwendete Software muss DSGVO-konform sein, idealerweise mit Serverstandorten in der EU. Informieren Sie Bewerber vorab über die technischen Voraussetzungen und die Datenverarbeitung.

Welche Informationspflichten haben wir gegenüber Bewerbern?

Nach Art. 13 DSGVO müssen Sie jeden Bewerber über die Datenverarbeitung informieren. Dies umfasst: Verantwortlicher, Datenschutzbeauftragter, Zwecke und Rechtsgrundlagen der Verarbeitung, Empfänger der Daten, Speicherdauer und Betroffenenrechte. Diese Informationen sollten bereits in der Stellenausschreibung oder spätestens bei Eingang der Bewerbung bereitgestellt werden.

Was tun, wenn ein Bewerber sein Auskunftsrecht geltend macht?

Sie müssen dem Bewerber spätestens innerhalb eines Monats Auskunft über alle gespeicherten personenbezogenen Daten geben. Dies umfasst eingereichte Unterlagen, Gesprächsnotizen und Bewertungen. Interne Abwägungen und Informationen über andere Bewerber dürfen Sie schwärzen. Die Auskunft sollte strukturiert und verständlich sein.

Kontakt aufnehmen
Nach oben scrollen