Datenschutz Bewerbung HR DSGVO Arbeitgeber

Datenschutz im Bewerbungsprozess – Was Arbeitgeber wissen müssen

Jens Hagel
Von Jens Hagel Co-Founder

Inhalt in Kürze

  • Bewerberdaten sind personenbezogene Daten. Die DSGVO und § 26 BDSG regeln, welche Daten Arbeitgeber im Bewerbungsprozess erheben, verarbeiten und speichern dürfen.
  • Nur erforderliche Daten sind erlaubt. Fragen nach Religion, Familienplanung oder Gesundheit sind im Bewerbungsverfahren grundsätzlich tabu.
  • Informationspflichten gelten ab der Stellenanzeige. Bewerber müssen wissen, wer ihre Daten verarbeitet, warum und wie lange.
  • Nach der Absage gilt eine Löschfrist von maximal sechs Monaten. Wer länger speichern will, braucht eine Einwilligung.

Jede Stellenanzeige löst einen datenschutzrechtlichen Prozess aus. Sobald eine Bewerbung eingeht, verarbeiten Sie personenbezogene Daten: Name, Adresse, Lebenslauf, Zeugnisse, manchmal Fotos und Gesundheitsdaten.

Die meisten Arbeitgeber unterschätzen den Aufwand. Ein fehlender Datenschutzhinweis in der Stellenanzeige, eine weitergeleitete Bewerbung ohne Rechtsgrundlage oder vergessene Löschfristen reichen aus, damit die Aufsichtsbehörde ein Bußgeldverfahren einleitet.

Dieser Artikel zeigt Ihnen, welche Pflichten Sie als Arbeitgeber im Bewerbungsprozess haben und wie Sie diese praktisch umsetzen.

§ 26BDSG regelt die Datenverarbeitung im Beschäftigungskontext
6 Monatemaximale Aufbewahrungsfrist nach Absage (AGG-Klagefrist)
Art. 13DSGVO: Informationspflicht bei jeder Datenerhebung

Rechtsgrundlage: Warum dürfen Arbeitgeber Bewerberdaten verarbeiten?

Die zentrale Rechtsgrundlage ist § 26 Abs. 1 BDSG. Danach dürfen personenbezogene Daten von Beschäftigten verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Bewerber gelten als Beschäftigte im Sinne des Gesetzes.

Ergänzend greift Art. 6 Abs. 1 lit. b DSGVO – die Verarbeitung ist zur Durchführung vorvertraglicher Maßnahmen erforderlich.

Entscheidend ist das Erforderlichkeitsprinzip: Sie dürfen nur die Daten erheben, die für die Besetzung der konkreten Stelle notwendig sind. Alles darüber hinaus braucht eine gesonderte Einwilligung oder ist schlicht unzulässig.

Welche Bewerberdaten dürfen Sie erheben?

Die folgende Tabelle zeigt, welche Daten im Bewerbungsprozess zulässig sind und welche nicht:

DatenkategorieZulässig?Begründung
Name, Adresse, KontaktdatenJaErforderlich für die Kommunikation
Berufserfahrung, QualifikationenJaErforderlich für die Eignungsprüfung
Zeugnisse, ZertifikateJaNachweis der Qualifikation
GehaltsvorstellungJaErforderlich für die Vertragsgestaltung
SchwerbehinderungEingeschränktNur bei öffentlichen Arbeitgebern (Pflicht zur Einladung)
GesundheitsdatenNein*Nur bei nachgewiesener Berufsrelevanz (z. B. Piloten)
ReligionszugehörigkeitNein*Nur bei konfessionellen Arbeitgebern
Familienstand, KinderwunschNeinKein Bezug zur Eignung
Politische ÜberzeugungNeinBesonders geschützte Daten (Art. 9 DSGVO)
FotoFreiwilligDarf nicht verlangt werden, aber freiwillig eingereicht

*Ausnahmen gelten nur, wenn die Information für die konkrete Tätigkeit objektiv erforderlich ist.

Keine Frage ist doof. Oftmals kann schon damit geholfen werden, wenn Mitarbeiter schnell mal eine Frage loswerden und diese zeitnah vom Datenschutzbeauftragten beantwortet wird.

Nils OehmichenNils OehmichenDatenschutzberater bei frag.hugo

Bewerbungsprozess datenschutzkonform gestalten – Schritt für Schritt

  1. Datenschutzhinweis in die Stellenanzeige aufnehmen. Bereits in der Ausschreibung müssen Sie die Pflichtangaben nach Art. 13 DSGVO bereitstellen: Name des Verantwortlichen, Kontaktdaten des Datenschutzbeauftragten, Zweck und Rechtsgrundlage der Verarbeitung, Speicherdauer und Hinweis auf Betroffenenrechte. Ein Link auf eine separate Datenschutzseite genügt.
  2. Bewerbungseingang absichern. E-Mail-Bewerbungen sollten über ein verschlüsseltes Postfach oder ein sicheres Bewerbungsportal eingehen. Vermeiden Sie unverschlüsselte Weiterleitungen an Fachabteilungen. Definieren Sie, wer Zugriff auf Bewerberdaten erhält – und beschränken Sie den Kreis auf die am Auswahlprozess beteiligten Personen.
  3. Interne Weitergabe regeln. Leiten Sie Bewerbungen nur an Personen weiter, die am Auswahlverfahren beteiligt sind. Jede Weitergabe an Dritte außerhalb des Unternehmens (z. B. Personalberater) erfordert eine Rechtsgrundlage – in der Regel einen Auftragsverarbeitungsvertrag (AVV).
  4. Auskunfts- und Löschrechte sicherstellen. Bewerber haben jederzeit das Recht auf Auskunft (Art. 15 DSGVO) und Löschung (Art. 17 DSGVO). Richten Sie einen internen Prozess ein, der Anfragen innerhalb der Monatsfrist beantwortet.
  5. Löschfristen einhalten. Nach einer Absage dürfen Sie Bewerberdaten maximal sechs Monate aufbewahren – wegen der Klagefrist nach dem Allgemeinen Gleichbehandlungsgesetz (AGG). Danach löschen Sie alle Unterlagen aus allen Systemen, einschließlich E-Mail-Postfächern und Backups.
  6. Talentpool nur mit Einwilligung. Wenn Sie Bewerberdaten über die sechs Monate hinaus speichern möchten, benötigen Sie eine ausdrückliche, freiwillige Einwilligung des Bewerbers. Diese Einwilligung muss jederzeit widerrufbar sein und getrennt von der Bewerbung eingeholt werden.
Social-Media-Screening – was ist erlaubt?

Viele Arbeitgeber googeln Bewerber oder prüfen deren Social-Media-Profile. Die Rechtslage ist eindeutig: Berufsnetze wie LinkedIn und XING dürfen Sie einsehen, da Bewerber dort gezielt berufliche Informationen öffentlich machen. Private Netzwerke wie Facebook oder Instagram sind tabu – erst recht, wenn Profile nicht öffentlich zugänglich sind. Systematisches Screening über mehrere Plattformen hinweg stellt eine Datenerhebung dar, die nach § 26 BDSG nicht erforderlich ist. Bei einem Verstoß riskieren Sie Bußgelder und Schadensersatzansprüche.

Checkliste: Datenschutz im Bewerbungsprozess

Prüfen Sie mit dieser Checkliste, ob Ihr Bewerbungsprozess DSGVO-konform aufgestellt ist:

  • Datenschutzhinweis nach Art. 13 DSGVO in allen Stellenanzeigen und auf dem Bewerbungsportal vorhanden.
  • Zugriffsrechte beschränkt: Nur am Auswahlprozess beteiligte Personen haben Zugang zu Bewerberdaten.
  • Verschlüsselter Übertragungsweg für E-Mail-Bewerbungen oder sicheres Bewerbungsportal eingerichtet.
  • AVV mit externen Dienstleistern (Recruiting-Software, Personalberater) abgeschlossen.
  • Löschfrist von sechs Monaten nach Absage dokumentiert und technisch umgesetzt.
  • Talentpool-Einwilligung separat eingeholt, dokumentiert und jederzeit widerrufbar.
  • Prozess für Betroffenenanfragen (Auskunft, Löschung) eingerichtet und getestet.
  • Kein systematisches Social-Media-Screening privater Netzwerke.
  • Mitarbeiter im HR geschult und Schulung dokumentiert.
  • Verarbeitungsverzeichnis aktualisiert – Bewerbungsverfahren als eigener Eintrag erfasst.

Wenn Sie bei mehreren Punkten unsicher sind, hilft unser kostenloser Datenschutz-Check. In wenigen Minuten sehen Sie, wo Ihr Unternehmen steht.

Häufige Fehler im Bewerberdatenschutz

Bewerbungen per CC weiterleiten. Wer eine Bewerbung intern per CC an fünf Personen schickt, gibt personenbezogene Daten an Empfänger weiter, die möglicherweise keinen Zugriff haben sollten. Nutzen Sie stattdessen ein zentrales System mit Berechtigungskonzept.

Keine Löschung nach Absage. In vielen Unternehmen liegen Bewerbungen jahrelang im Postfach. Das verstößt gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Ein dokumentiertes Löschkonzept schafft Abhilfe.

Fragen im Vorstellungsgespräch. Fragen nach Schwangerschaft, Familienplanung oder Gewerkschaftszugehörigkeit sind unzulässig. Schulen Sie Ihre Interviewer regelmäßig, welche Fragen erlaubt sind und welche nicht.

Fehlende Dokumentation. Sie müssen nachweisen können, dass Sie den Datenschutz einhalten – das verlangt die DSGVO-Dokumentationspflicht. Dokumentieren Sie Ihren Bewerbungsprozess im Verarbeitungsverzeichnis und halten Sie Löschprotokolle fest.

Was passiert bei Verstößen?

Die Aufsichtsbehörden nehmen den Bewerberdatenschutz ernst. Bußgelder drohen unter anderem bei:

  • Fehlenden Datenschutzhinweisen in Stellenanzeigen
  • Unzulässiger Weitergabe von Bewerberdaten an Dritte
  • Fehlenden Löschprozessen nach Verfahrensabschluss
  • Unzulässigen Fragen im Bewerbungsgespräch

Dazu kommen Schadensersatzansprüche der Bewerber nach Art. 82 DSGVO. Ein externer Datenschutzbeauftragter stellt sicher, dass Ihr Bewerbungsprozess rechtssicher aufgestellt ist.

Auf den Punkt: Datenschutz im Bewerbungsprozess beginnt bei der Stellenanzeige und endet mit der fristgerechten Löschung. Die wichtigsten Regeln: Nur erforderliche Daten erheben, Zugriff beschränken, Bewerber informieren, nach sechs Monaten löschen. § 26 BDSG und Art. 6, 13, 17 DSGVO bilden den rechtlichen Rahmen. Wer diese Grundlagen umsetzt, ist auf der sicheren Seite.

HR-Datenschutz im Griff?

Wir erstellen Ihre Datenschutz-Richtlinie für den Bewerbungsprozess – DSGVO-konform und praxistauglich.

Beratung anfragen →

Bewerberdatenschutz für Hamburger Arbeitgeber

Der Hamburger Arbeitsmarkt ist hart umkämpft – Fachkräfte haben die Wahl. Unternehmen, die schon im Bewerbungsprozess professionell mit Daten umgehen, punkten bei Kandidaten. Gleichzeitig ist der HmbBfDI als Aufsichtsbehörde bekannt dafür, Beschwerden von Bewerbern zügig nachzugehen. Fehlende Datenschutzhinweise in Stellenanzeigen auf Hamburger Jobportalen oder nicht gelöschte Bewerbungsunterlagen können schnell zu einem Verfahren führen. Falls Sie Ihren HR-Datenschutz in Hamburg auf sichere Beine stellen wollen, unterstützen wir Sie als externer Datenschutzbeauftragter mit klaren Prozessen und praxistauglichen Vorlagen.

Häufige Fragen (FAQ)

Auf welcher Rechtsgrundlage dürfen Arbeitgeber Bewerberdaten verarbeiten?

Hauptsächlich auf Basis von § 26 Abs. 1 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) in Verbindung mit Art. 88 DSGVO. Eine gesonderte Einwilligung der Bewerber ist für den regulären Bewerbungsprozess nicht erforderlich.

Wie lange dürfen Bewerbungsunterlagen aufbewahrt werden?

Nach einer Absage sollten Bewerbungsunterlagen spätestens nach 6 Monaten gelöscht werden. Diese Frist orientiert sich an der Klagefrist nach dem AGG (§ 15 Abs. 4 AGG: 2 Monate plus Sicherheitszuschlag). Für den Talentpool brauchen Sie eine Einwilligung.

Dürfen Arbeitgeber Social-Media-Profile von Bewerbern prüfen?

Nur berufliche Netzwerke wie LinkedIn oder Xing dürfen eingesehen werden – und auch nur, soweit die Informationen für die Stelle relevant sind. Private Profile auf Facebook oder Instagram dürfen nicht systematisch ausgewertet werden.

Brauche ich eine Datenschutzinformation für Bewerber?

Ja. Nach Art. 13 DSGVO müssen Sie Bewerber bei Erhebung ihrer Daten über Zweck, Rechtsgrundlage, Speicherdauer und ihre Rechte informieren. Am besten verlinken Sie eine Datenschutzinformation direkt in der Stellenanzeige.

Darf ich Bewerbungen per E-Mail empfangen?

Ja, aber der Empfang muss über einen geschützten Kanal erfolgen. Stellen Sie sicher, dass die E-Mail-Postfächer nur für berechtigte Personen zugänglich sind und die Transportverschlüsselung (TLS) aktiviert ist.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Jens Hagel

Über den Autor

Jens Hagel

Co-Founder

Jens ist Co-Founder und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Mit über 20 Jahren IT-Erfahrung verbindet er technisches Know-how mit strategischem Denken, um Datenschutz und Compliance für KMU zugänglich zu machen.

Nächster Schritt

Haben Sie Fragen?

Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.

Erstgespräch buchen Weitere Artikel