DSGVO im Recruiting
Die DSGVO (Verordnung EU 2016/679) regelt die Verarbeitung personenbezogener Bewerberdaten. Im Recruiting verlangt sie: eine klare Rechtsgrundlage für die Verarbeitung, begrenzte Aufbewahrungsdauer (in der Regel 12-24 Monate ohne Einwilligung), Auskunfts- und Löschrechte sowie eine Datenschutz-Folgenabschätzung (DSFA) bei automatisierter Profilbildung.
Ausführliche Definition
DSGVO im Recruiting: Die DSGVO (Verordnung EU 2016/679) regelt die Verarbeitung personenbezogener Bewerberdaten. Im Recruiting verlangt sie: eine klare Rechtsgrundlage für die Verarbeitung, begrenzte Aufbewahrungsdauer (in der Regel 12-24 Monate ohne Einwilligung), Auskunfts- und Löschrechte sowie eine Datenschutz-Folgenabschätzung (DSFA) bei automatisierter Profilbildung.
Im Recruiting erhobene Daten (Lebensläufe, Anschreiben, Audioaufnahmen, psychometrische Tests) sind personenbezogene Daten im Sinne der DSGVO. Sie umfassen häufig besondere Kategorien (ethnische Herkunft aus Fotos erkennbar, sexuelle Orientierung oder Religion aus Anschreiben ableitbar, Gesundheitsdaten bei Rollen mit ärztlicher Untersuchung), die eine verstärkte Rechtsgrundlage erfordern.
Typische Rechtsgrundlagen für ein ATS sind: - Durchführung vorvertraglicher Maßnahmen (Art. 6(1)(b)): deckt die aktive Bewerbung auf eine konkrete Stelle ab. - Berechtigtes Interesse (Art. 6(1)(f)): kann die Aufbewahrung des Lebenslaufs im Talentpool nach Absage abdecken, mit dokumentierter Abwägung. - Einwilligung (Art. 6(1)(a)): erforderlich für spezifische Verwendungen (z. B. künftige Marketing-Kommunikation, Weitergabe an Konzerngesellschaften).
Aufbewahrungsfristen, die von europäischen Datenschutzbehörden empfohlen werden: 12 Monate ab Bewerbung für nicht eingestellte Bewerber, sofern keine ausdrückliche Einwilligung für längere Aufbewahrung vorliegt; bei Eingestellten gelten die Standardfristen des Beschäftigungsverhältnisses.
Bewerberrechte (Art. 15-22 DSGVO), die ein ATS umsetzen muss: Auskunft über erhobene Daten, Berichtigung, Löschung (Right to be forgotten), Datenübertragbarkeit in strukturiertem Format, Widerspruch gegen die Verarbeitung und nicht Gegenstand automatisierter Entscheidungen mit erheblichen Auswirkungen zu sein (Art. 22) — also das Recht, eine menschliche Überprüfung zu verlangen, wenn das ATS die Bewerbung allein auf Basis von KI-Matching abgelehnt hat.
Bei Systemen mit algorithmischer Profilbildung (intelligentes Matching, Scoring) ist eine DSFA — Datenschutz-Folgenabschätzung verpflichtend und periodisch zu überprüfen.
Der häufigste Fehler ist die übermäßige Aufbewahrung: Viele Legacy-ATS halten Lebensläufe über 5+ Jahre ohne Rechtsgrundlage. Das Risiko ist doppelt: DSGVO-Bußgeld (bis zu 4 % des globalen Umsatzes) und Wertverlust, da alte Bewerbungen ohnehin veraltet sind.
Cumino bietet kundenseitig konfigurierbare Aufbewahrungsrichtlinien, natives Consent-Audit-Logging, DSGVO-konformen Export und einen One-Click-Löschprozess.
In der Praxis erleben
Cumino implementiert die Schlüsselkonzepte modernen Recruitings nativ. Buchen Sie eine Demo, um sie in Aktion zu sehen.
Demo buchenPreise ansehen