DSGVO im Recruiting

Die vier Regeln, die im Recruiting am meisten zählen

Die DSGVO ist breit. Die für Recruiting tagesrelevanten Teile:

• Rechtsgrundlage: Jede Verarbeitung hat eine dokumentierte Basis. Für Bewerbungen ist es „erforderlich für Schritte vor Vertragsschluss”. Für Talentpool-Mitglieder explizite Einwilligung.
• Datenminimierung: Nur erheben, was die Rolle braucht. Kein Geburtsdatum, wenn die Rolle es nicht rechtlich verlangt.
• Speicherbegrenzung: Bewerbungsdaten haben eine festgelegte Aufbewahrungsfrist (meist 6-12 Monate nach Suchabschluss für abgelehnte Bewerbungen, länger mit Einwilligung).
• Betroffenenrechte: Auskunft, Löschung, Berichtigung. Workflow vorab bauen, nicht beim ersten Antrag improvisieren.

Wo KMU häufig stolpern

Häufige Fehler:

• Pool-Mitglieder ohne Einwilligung. Person gesourct, Call geführt, in den Pool gelegt — ohne festgehaltenes „darf ich Ihre Daten X Monate behalten”. Technisch ein Verstoß.
• Unbegrenzte Aufbewahrung. „Wir behalten alle Bewerbungen ewig, falls eine Rolle aufmacht.” Nicht DSGVO-konform.
• Pflichtfelder ohne Zweck. Geburtsdatum, Familienstand, Foto (in manchen Märkten) standardmäßig erhoben. Jedes braucht einen begründeten Zweck.

Was „Einwilligung” wirklich verlangt

Einwilligung ist spezifisch, informiert, freiwillig und widerrufbar. Eine vorangekreuzte Checkbox ist keine Einwilligung. Ein Satz in 30 Seiten AGB ist keine Einwilligung. Sauberes Muster: klare, kurze, separate Einwilligung in dem Moment, in dem die Daten den unmittelbaren Bewerbungszweck verlassen.

Wo Join hineinpasst

Join hält Einwilligungs-Zeitstempel und Basis pro Datensatz, wendet konfigurierte Aufbewahrungsfristen an und führt Workflows für Löschanträge. Mehr unter Datenschutz.