Brauchen wir einen DSB für unser Recruiting?

Wenn euer Unternehmen einen Datenschutzbeauftragten bestellt hat (Pflicht ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten), ja - und er sollte die Recruiting-Strecke einmal abnehmen. Ohne DSB: ein einmaliges Pflicht-Verzeichnis-Update reicht.

Müssen wir den Hosting-Standort offenlegen?

Ja, in der Datenschutzerklärung. Wenn das ATS in Deutschland hostet (wie KI BMS), schreibst du das hin und das Thema ist erledigt. Wenn es außerhalb der EU hostet, brauchst du Standardvertragsklauseln + Transfer-Folgen-Abschätzung.

Was passiert mit Bewerbungen, die wir noch nie eingeladen haben?

Sie unterliegen denselben Aufbewahrungsregeln wie eingeladene Bewerbungen. KI BMS setzt die Aufbewahrungsfrist beim Anlegen, anonymisiert beim Erreichen automatisch - egal, in welcher Phase die Bewerbung gerade steht.

KI BMS

Preise

Themen

DSGVO im Recruiting - was du wirklich tun musst (und was nicht)

Pragmatische DSGVO-Praxis für deutschsprachige HR-Teams - ohne Rechtsanwalts-Sprache, mit konkreten Schwellenwerten.

DSGVO

Recruiting

Compliance

Finn GlasCo-Founder + Engineering

·23. März 2026·

2 Min. Lesezeit

Sechs konkrete Pflichten

Was die DSGVO im Recruiting praktisch von dir verlangt, lässt sich auf sechs Punkte reduzieren. Ich liste sie hier so, wie ein Datenschutzbeauftragter sie in einem Audit prüfen würde.

Information vor der Bewerbung: was speichert ihr, wie lange, wer hat Zugriff, KI ja/nein.

Rechtmäßigkeit: Einwilligung oder berechtigtes Interesse - im Recruiting meist Erstes plus Vertragsanbahnung.

Datenminimierung: nur erheben, was die Stelle braucht. Kein Lichtbild, wenn nicht nötig. Kein Geburtsdatum, wenn nicht nötig.

Aufbewahrung: nach Absage 6 Monate, dann anonymisieren. Talent-Pool nur mit ausdrücklicher Verlängerung.

Auskunftsrecht: jede Bewerber:in kann ihre Daten anfordern, du musst innerhalb von 30 Tagen liefern.

Löschung: jede Bewerber:in kann jederzeit löschen lassen, du löschst innerhalb angemessener Frist.

Drei Mythen, die viel Zeit kosten

Mythos 1: 'Wir brauchen für jede Bewerbung eine separate, händische Einwilligung im Word-Dokument.' Falsch - die Einwilligung in der Datenschutzerklärung der Karriereseite reicht, sofern sie spezifisch ist.

Mythos 2: 'Wir müssen alles 10 Jahre aufbewahren wegen AGG.' Falsch - 6 Monate nach Absage reichen für AGG-Klagefristen. Längere Aufbewahrung braucht eine andere Rechtsgrundlage.

Mythos 3: 'KI im Recruiting ist verboten.' Falsch - Vorsortierung mit menschlicher Entscheidung ist zulässig. Verboten ist Auto-Entscheidung mit rechtlicher Wirkung ohne Mensch.

Was ein modernes ATS dir abnimmt

Drei der sechs Pflichten kann ein ATS automatisieren. Information durch eingebaute DSGVO-Klausel auf der Karriereseite. Aufbewahrung durch eine Aufbewahrungsfrist pro Talent mit Auto-Anonymisierung nach Ablauf. Auskunftsrecht durch Self-Service-Export. Die anderen drei (Rechtmäßigkeit, Datenminimierung, Löschung) bleiben menschliche Entscheidungen, aber das ATS hilft, sie konsistent zu halten.

Häufige Fragen

Häufig gefragt

Diesen Artikel teilen

Probiere KI BMS

Kostenloser Tarif, keine Kreditkarte nötig. Hosting in Deutschland. Export und Löschung sind self-service.

Geschrieben von

Finn Glas

Co-Founder + Engineering

Finn ist einer der Co-Founder. Er verantwortet Engineering, Infrastruktur und die meisten nächtlichen Fixes, die ausgerollt werden, bevor jemand etwas merkt.

finn.glas at aicuflow dot comLinkedIn Website

Lies als Nächstes

DSGVO-Checkliste für Recruiting 2026 - Schritt für Schritt sauber

Sechs konkrete DSGVO-Pflichten + drei häufige Mythen, mit Software-Defaults zum Abhaken.

Lesen

Warum KI im Recruiting mehr als ein Trend ist - und woran du den Unterschied erkennst

Wie sich Recruiting durch KI substantiell ändert - jenseits des Hypes.

Lesen

Wie du faire Absagen schreibst, ohne Stunden dafür zu brauchen

Eine echte Absage-Vorlage, drei Anti-Patterns, und der Grund, warum 'leider passt es nicht' der falsche Satz ist.

Lesen