Bewerbungsunterlagen prüfen gehört zum Alltag im Recruiting. Aber wie dokumentieren Sie diesen Prozess so, dass er den Anforderungen der DSGVO standhält? Viele Unternehmen sind unsicher, welche Daten sie wie lange speichern dürfen und wie sie den Umgang mit sensiblen Daten von Bewerbenden nachweisbar gestalten. Dieser Artikel zeigt Ihnen konkret, was Sie beachten müssen und wie Sie Ihren Prüfprozess rechtssicher aufsetzen.
Warum die DSGVO-konforme Dokumentation im Recruiting wichtig ist
Die DSGVO regelt den Umgang mit personenbezogenen Daten streng. Bewerbungsunterlagen enthalten besonders sensible Informationen über Menschen, die sich bei Ihnen bewerben. Namen, Kontaktdaten, Lebensläufe und manchmal sogar Gesundheitsinformationen landen auf Ihrem Schreibtisch oder in Ihrem System.
Bei Verstößen drohen empfindliche Bußgelder. Je nach Schwere können diese bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes betragen. Aber auch abseits der finanziellen Risiken schadet ein Datenschutzvorfall Ihrer Arbeitgebermarke erheblich. Talente vertrauen Ihnen ihre Daten an und erwarten einen professionellen Umgang damit.
Eine saubere Dokumentation schützt Sie nicht nur rechtlich. Sie macht Ihren Bewerbungsprozess transparent und nachvollziehbar. Das hilft bei Rückfragen von Bewerbenden genauso wie bei internen Audits. Wer dokumentiert, wie Bewerbungsunterlagen geprüft werden, schafft klare Strukturen im Team und vermeidet Missverständnisse.
Welche Daten von Bewerbenden dürfen Sie überhaupt verarbeiten und speichern?
Die Rechtsgrundlage für die Verarbeitung von Bewerbungsdaten finden Sie in Artikel 6 der DSGVO. Dort ist geregelt, dass Sie personenbezogene Daten verarbeiten dürfen, wenn dies zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. Im Klartext bedeutet das für Sie im Recruiting: Sie dürfen alle Daten erheben und speichern, die Sie brauchen, um zu prüfen, ob jemand für eine Stelle geeignet ist.
Zu den zulässigen Daten gehören:
- Name, Adresse und Kontaktdaten
- Lebenslauf mit beruflichem Werdegang
- Zeugnisse und Qualifikationsnachweise
- Angaben zur Verfügbarkeit und Gehaltsvorstellungen
- Bewerbungsfotos (wenn freiwillig eingereicht)
Vorsicht ist bei besonderen Kategorien personenbezogener Daten geboten. Artikel 9 DSGVO schützt Informationen über ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder sexuelle Orientierung. Diese Daten dürfen Sie grundsätzlich nicht verarbeiten, es sei denn, die betreffende Person hat ausdrücklich eingewilligt oder es gibt einen gesetzlichen Ausnahmetatbestand.
Das Allgemeine Gleichbehandlungsgesetz (AGG) ergänzt diese Regelungen. Es verbietet Diskriminierung im Bewerbungsprozess. Fragen Sie daher nur Informationen ab, die für die Stellenbesetzung relevant sind. Alter, Familienstand oder Kinderwunsch gehören nicht dazu.
Wenn Sie Daten über die eigentliche Bewerbung hinaus speichern möchten (etwa für einen Talentpool), brauchen Sie eine separate Einwilligung. Diese muss freiwillig, informiert und dokumentiert sein. Bewerbende müssen wissen, wofür ihre Daten verwendet werden und wie lange Sie diese aufbewahren.
Einwilligung richtig einholen und dokumentieren
Eine wirksame Einwilligung ist konkret formuliert und leicht verständlich. Vermeiden Sie Rechtsdeutsch. Erklären Sie klar, was Sie mit den Daten vorhaben. Wichtig ist auch, dass Bewerbende ihre Einwilligung jederzeit widerrufen können. Dokumentieren Sie jede erteilte Einwilligung mit Datum und Zeitpunkt.
So dokumentieren Sie die Prüfung von Bewerbungsunterlagen rechtskonform
Die Dokumentation beginnt bereits beim Eingang der Bewerbung. Halten Sie fest, wann und auf welchem Weg die Unterlagen bei Ihnen eingegangen sind. Das schafft Klarheit und hilft Ihnen, Fristen einzuhalten.
Der Prüfprozess selbst sollte strukturiert ablaufen. Folgende Schritte dokumentieren Sie am besten systematisch:
Eingang: Datum, Kanal (E-Mail, Bewerbungsformular, postalisch), verantwortliche Person im Team.
Sichtung: Wer hat die Unterlagen wann erstmals gesichtet? Welche erste Einschätzung wurde getroffen?
Bewertung: Nutzen Sie strukturierte Bewertungsbögen oder Score Cards. Diese sollten nachvollziehbar machen, anhand welcher Kriterien Sie Bewerbende beurteilen. Vermeiden Sie subjektive Kommentare, die diskriminierend wirken könnten.
Entscheidung: Dokumentieren Sie, wer die finale Entscheidung getroffen hat und auf welcher Grundlage. Bei Absagen sollten Sie sachliche Ablehnungsgründe festhalten, die sich auf die Anforderungen der Stelle beziehen.
Zugriffsprotokolle sind ein weiterer wichtiger Baustein. Wer hat wann auf welche Bewerbungsunterlagen zugegriffen? Moderne Bewerbermanagementsysteme erstellen solche Protokolle automatisch. Das erleichtert Ihnen die Nachweisführung erheblich.
Bearbeitungsvermerke helfen Ihrem Team, den Überblick zu behalten. Notieren Sie, welche Schritte bereits erfolgt sind und was noch aussteht. So vermeiden Sie Doppelarbeit und stellen sicher, dass keine Bewerbung untergeht.
Vorlagen und Checklisten nutzen
Standardisierte Vorlagen machen Ihren Prozess effizienter und rechtssicherer. Erstellen Sie Bewertungsbögen mit klaren Kriterien, die für alle Bewerbenden gleich angewendet werden. Checklisten stellen sicher, dass Sie keinen wichtigen Schritt vergessen. Das schützt Sie bei Rückfragen und macht Entscheidungen transparent.
Aufbewahrungsfristen und Löschpflichten bei Bewerbungsunterlagen
Nach einer Absage dürfen Sie Bewerbungsunterlagen in der Regel sechs Monate aufbewahren. Diese Frist orientiert sich am AGG, das Bewerbenden zwei Monate Zeit gibt, Ansprüche geltend zu machen. Die sechs Monate bieten Ihnen zusätzlichen Spielraum für eventuelle rechtliche Auseinandersetzungen.
Bei eingestellten Bewerbenden gelten andere Regeln. Deren Unterlagen werden Teil der Personalakte und unterliegen den entsprechenden Aufbewahrungspflichten. Diese können je nach Dokumentenart variieren und reichen teilweise über das Ende des Arbeitsverhältnisses hinaus.
Möchten Sie abgelehnte Bewerbende länger im System behalten (etwa für zukünftige Positionen), brauchen Sie deren ausdrückliche Einwilligung. Erklären Sie dabei transparent, wie lange die Daten gespeichert werden und für welche Zwecke. Üblich sind Zeiträume von ein bis zwei Jahren für Talentpools.
Löschkonzept technisch umsetzen
Ein durchdachtes Löschkonzept ist wichtig. Definieren Sie klare Prozesse, wann welche Daten gelöscht werden müssen. Automatisierte Erinnerungen helfen Ihnen, Fristen einzuhalten. Viele Bewerbermanagementsysteme bieten Funktionen für automatische Löschungen nach Ablauf definierter Zeiträume.
Löschen bedeutet übrigens mehr als nur das Entfernen aus dem aktiven System. Auch Backups und Archive müssen berücksichtigt werden. Stellen Sie sicher, dass gelöschte Daten nicht über Umwege wiederhergestellt werden können.
Umgang mit Auskunfts- und Löschanfragen
Bewerbende haben das Recht, Auskunft über ihre gespeicherten Daten zu verlangen. Sie müssen innerhalb eines Monats antworten und alle Informationen bereitstellen, die Sie über die Person gespeichert haben. Auch Löschanfragen müssen Sie zeitnah bearbeiten, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Richten Sie einen klaren Prozess für solche Anfragen ein. Benennen Sie eine verantwortliche Person im Team und definieren Sie Abläufe. Das erspart Ihnen Stress im Ernstfall.
Technische und organisatorische Maßnahmen für datenschutzkonformes Recruiting
Technische und organisatorische Maßnahmen (TOM) schützen Daten von Bewerbenden vor unbefugtem Zugriff, Verlust oder Missbrauch. Die DSGVO verpflichtet Sie dazu, angemessene Sicherheitsvorkehrungen zu treffen.
Zu den technischen Maßnahmen gehören:
- Verschlüsselte Übertragung von Bewerbungsunterlagen (SSL/TLS)
- Sichere Passwörter und Zwei-Faktor-Authentifizierung für Systemzugänge
- Regelmäßige Backups und Notfallpläne
- Aktuelle Software und Sicherheitsupdates
Organisatorisch sollten Sie klare Zugriffsberechtigungen definieren. Nicht jede Person im Unternehmen muss auf alle Bewerbungsunterlagen zugreifen können. Legen Sie fest, wer welche Daten sehen darf und dokumentieren Sie diese Regelungen.
Schulungen für Ihr Recruiting-Team sind wichtig. Alle Beteiligten sollten wissen, wie sie mit sensiblen Daten umgehen müssen. Sensibilisieren Sie für Datenschutzrisiken und erklären Sie die internen Prozesse.
Bewerbermanagementsysteme auf DSGVO-Konformität prüfen
Wenn Sie ein Bewerbermanagementsystem einsetzen, tragen Sie Verantwortung für dessen Datenschutzkonformität. Prüfen Sie vor der Auswahl, ob der Anbieter die DSGVO-Anforderungen erfüllt. Achten Sie auf Zertifizierungen und fragen Sie nach technischen Sicherheitsmaßnahmen.
Ein Auftragsverarbeitungsvertrag (AVV) ist Pflicht, wenn der Anbieter in Ihrem Auftrag personenbezogene Daten verarbeitet. Dieser Vertrag regelt die Verantwortlichkeiten und stellt sicher, dass der Dienstleister die Datenschutzstandards einhält.
Moderne Systeme wie ein professioneller Bewerbungsmanager unterstützen Sie dabei, Ihren gesamten Bewerbungsprozess DSGVO-konform abzubilden. Von automatischen Löschfristen über Zugriffsprotokolle bis hin zu strukturierten Workflows erleichtern solche Tools die rechtssichere Dokumentation erheblich.
Die DSGVO-konforme Dokumentation beim Prüfen von Bewerbungsunterlagen ist kein Hexenwerk. Mit klaren Prozessen, strukturierten Vorlagen und den richtigen technischen Hilfsmitteln schaffen Sie einen rechtssicheren Bewerbungsprozess. Das schützt nicht nur vor Bußgeldern, sondern stärkt auch das Vertrauen der Talente in Ihr Unternehmen. Bei XING unterstützen wir Sie mit durchdachten Lösungen, die Datenschutz und Effizienz vereinen.
