Bei einer One-Click-Bewerbung übermitteln Talente ihre Bewerbungsdaten mit nur einem Klick direkt aus ihrem Profil – beispielsweise von einer Karriereplattform. Dabei werden personenbezogene Daten wie Name, Kontaktdaten, Lebenslaufinformationen und berufliche Qualifikationen automatisch an Sie als Arbeitgeber übertragen. Diese vereinfachte Datenverarbeitung fällt vollständig unter die DSGVO, da es sich um sensible Daten von Bewerbenden handelt, die besonderen Schutz erfordern. Die rechtssichere Umsetzung erfordert klare Rechtsgrundlagen, transparente Informationspflichten und angemessene Sicherheitsmaßnahmen.
Was ist eine One-Click-Bewerbung und welche Daten werden verarbeitet?
Eine One-Click-Bewerbung ermöglicht es Talenten, sich mit nur einem Klick auf eine Stelle zu bewerben, indem ihre Profildaten automatisch übertragen werden. Dieser Prozess beschleunigt die Bewerbung erheblich – Talente benötigen oft nur eine Minute statt der üblichen 15 bis 30 Minuten für eine klassische Bewerbung.
Bei diesem vereinfachten Prozess werden folgende personenbezogene Daten typischerweise verarbeitet:
- Persönliche Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer)
- Beruflicher Werdegang und Qualifikationen
- Ausbildungsinformationen und Abschlüsse
- Profilbilder und zusätzliche Dokumente
- Angaben zu Sprachkenntnissen und Fähigkeiten
Diese Datenverarbeitung fällt unter die DSGVO, weil personenbezogene Daten erhoben, gespeichert und für Auswahlentscheidungen genutzt werden. Als Arbeitgeber sind Sie verpflichtet, diese Daten rechtmäßig, transparent und zweckgebunden zu verarbeiten. Der Umfang der Datenverarbeitung sollte sich dabei auf das für die Stellenbesetzung tatsächlich Notwendige beschränken.
Moderne Bewerbungsmanagement-Systeme wie der onlyfy Bewerbungsmanager unterstützen Sie dabei, diese vereinfachten Bewerbungsprozesse DSGVO-konform umzusetzen und gleichzeitig hohe Abschlussraten zu erzielen.
Welche Rechtsgrundlagen gelten für die Verarbeitung von Daten Bewerbender?
Die Verarbeitung von Daten Bewerbender bei One-Click-Bewerbungen stützt sich primär auf Art. 6 Abs. 1 lit. b DSGVO – die Vertragsanbahnung. Sie dürfen Daten Bewerbender verarbeiten, wenn dies zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich ist. Die Bewerbung stellt eine solche Anfrage dar.
Zusätzlich gilt in Deutschland § 26 BDSG in Verbindung mit Art. 88 DSGVO, der die Datenverarbeitung im Beschäftigungskontext regelt. Diese Rechtsgrundlage erlaubt die Verarbeitung von Daten Bewerbender zur Begründung eines Beschäftigungsverhältnisses.
Eine Einwilligung ist in folgenden Fällen erforderlich:
- Speicherung der Daten über die gesetzliche Frist hinaus
- Aufnahme in einen Talent-Pool für künftige Positionen
- Weitergabe an Konzerngesellschaften oder Dritte
- Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten bei Schwerbehinderung)
Bei der vorvertraglichen Datenverarbeitung im Recruiting ist wichtig: Die Verarbeitung muss für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich sein. Sie dürfen keine Daten erheben, die für die konkrete Stellenbesetzung nicht relevant sind.
Welche Informationspflichten müssen Arbeitgeber bei One-Click-Bewerbungen erfüllen?
Nach Art. 13 DSGVO müssen Sie Bewerbende umfassend über die Datenverarbeitung informieren – und zwar vor oder spätestens bei der Datenerhebung. Bei One-Click-Bewerbungen bedeutet dies konkret: Die Informationen müssen bereits im Bewerbungsformular oder unmittelbar davor zugänglich sein.
Folgende Informationen sind verpflichtend bereitzustellen:
- Name und Kontaktdaten des Verantwortlichen (Ihr Unternehmen)
- Zweck der Datenverarbeitung (Stellenbesetzung)
- Rechtsgrundlage der Verarbeitung (Art. 6 Abs. 1 lit. b DSGVO, § 26 BDSG)
- Speicherdauer oder Kriterien zur Festlegung
- Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch)
- Beschwerderecht bei Aufsichtsbehörden
- Empfänger oder Kategorien von Empfängern der Daten
Die praktische Umsetzung erfolgt üblicherweise durch eine Datenschutzerklärung, die direkt im Bewerbungsprozess verlinkt ist. Diese muss verständlich formuliert und leicht zugänglich sein – komplizierte Rechtssprache ist zu vermeiden. Barrierefreie Bewerbungsformulare, wie sie moderne Systeme bereitstellen, unterstützen Sie dabei, diese Anforderungen zu erfüllen.
Das Timing ist entscheidend: Die Informationen müssen bereitgestellt werden, bevor die Daten übermittelt werden. Bei One-Click-Bewerbungen empfiehlt sich ein deutlich sichtbarer Hinweis mit Link zur Datenschutzerklärung direkt beim Bewerbungs-Button.
Wie lange dürfen Daten Bewerbender nach einer One-Click-Bewerbung gespeichert werden?
Nach dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) dürfen Sie Daten Bewerbender nur so lange aufbewahren, wie es für den Verarbeitungszweck erforderlich ist. Die übliche Aufbewahrungsfrist im Recruiting beträgt sechs Monate nach Abschluss des Bewerbungsverfahrens.
Diese Frist ermöglicht es Ihnen, auf mögliche Nachfragen oder Beschwerden zu reagieren und die Entscheidung nachvollziehbar zu dokumentieren. Nach Ablauf dieser Frist müssen Sie die Daten löschen, sofern keine andere Rechtsgrundlage für die weitere Speicherung besteht.
Besondere Regelungen gelten in folgenden Fällen:
- AGG-Nachweispflicht: Für den Fall von Diskriminierungsvorwürfen sollten Bewerbungsunterlagen mindestens zwei Monate nach Absendung der Absage aufbewahrt werden
- Erfolgreiche Bewerbende: Die Daten werden Teil der Personalakte und unterliegen den entsprechenden Aufbewahrungspflichten
- Talent-Pool: Eine längere Speicherung ist nur mit ausdrücklicher Einwilligung der Bewerbenden zulässig
Bei der Unterscheidung zwischen abgelehnten und erfolgreichen Bewerbenden gilt: Abgelehnte Talente haben nach Ablauf der Frist einen Anspruch auf Löschung ihrer Daten. Erfolgreiche Bewerbende werden zu Beschäftigten, wodurch andere Aufbewahrungsfristen greifen.
Wenn Sie Talente für künftige Positionen im Blick behalten möchten, benötigen Sie eine separate, freiwillige Einwilligung zur Aufnahme in einen Talent-Pool. Diese muss klar vom eigentlichen Bewerbungsprozess getrennt sein. Mit professionellen ATS-Lösungen können Sie solche Prozesse automatisiert und rechtssicher abbilden.
Welche technischen und organisatorischen Maßnahmen sind bei One-Click-Bewerbungen erforderlich?
Nach Art. 32 DSGVO müssen Sie geeignete technische und organisatorische Maßnahmen (TOM) treffen, um ein angemessenes Schutzniveau für Daten Bewerbender zu gewährleisten. Bei One-Click-Bewerbungen sind folgende Maßnahmen besonders relevant:
Technische Sicherheitsmaßnahmen:
- Verschlüsselte Datenübertragung (SSL/TLS-Verschlüsselung)
- Sichere Speicherung in zertifizierten Rechenzentren
- Regelmäßige Sicherheitsupdates und Patches
- Schutz vor unbefugtem Zugriff durch Firewalls und Intrusion Detection
- Backup-Systeme zur Wiederherstellung bei Datenverlust
Organisatorische Maßnahmen:
- Zugriffskontrollen: Nur berechtigte Personen im Recruiting-Team dürfen auf Daten Bewerbender zugreifen
- Protokollierung von Zugriffen zur Nachvollziehbarkeit
- Schulung der Mitarbeitenden zu Datenschutzbestimmungen
- Klare Prozesse zur Löschung nach Ablauf der Speicherfristen
- Datenschutz-Folgenabschätzung bei umfangreicher Datenverarbeitung
Bei der Integration von Drittanbieter-Systemen wie Recruiting-Plattformen müssen Sie besonders aufmerksam sein. Prüfen Sie, ob der Anbieter als Auftragsverarbeiter nach Art. 28 DSGVO agiert oder als eigenständiger Verantwortlicher. Im ersten Fall benötigen Sie einen Auftragsverarbeitungsvertrag, der die Pflichten des Dienstleisters klar regelt.
Moderne Bewerbungsmanagement-Systeme erfüllen diese Anforderungen bereits standardmäßig. Sie bieten verschlüsselte Datenübertragung, rollenbasierte Zugriffsrechte und automatisierte Löschprozesse. Achten Sie bei der Auswahl eines Systems darauf, dass es DSGVO-konform arbeitet und regelmäßig auditiert wird.
Die Verantwortlichkeit bleibt letztlich bei Ihnen als Arbeitgeber – auch wenn Sie externe Plattformen nutzen. Dokumentieren Sie daher alle getroffenen Maßnahmen und überprüfen Sie diese regelmäßig. Mit aussagekräftigen HR-Dashboards behalten Sie den Überblick über Ihre Recruiting-Prozesse und können wichtige KPIs zur Prozesseffizienz kontinuierlich monitoren.
Die Einhaltung der DSGVO-Anforderungen bei One-Click-Bewerbungen schützt nicht nur die Rechte Ihrer Bewerbenden, sondern stärkt auch Ihre Arbeitgebermarke. Talente schätzen transparente, sichere Bewerbungsprozesse – und Sie profitieren von höheren Abschlussraten und qualifizierteren Bewerbungen. Investieren Sie in rechtssichere Systeme und klare Prozesse, um langfristig erfolgreich zu rekrutieren.
