Datenschutz ist im Recruiting nicht optional — er ist Pflicht. Wer Stellenanzeigen veröffentlicht, Bewerbungen entgegennimmt und Kandidatendaten verarbeitet, muss die DSGVO einhalten. Verstöße können teuer werden: Bußgelder bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes drohen. In diesem Guide erfährst du, was du 2026 konkret beachten musst.
DSGVO-Grundlagen für Recruiting
Die Datenschutz-Grundverordnung (DSGVO) regelt, wie personenbezogene Daten in der EU erhoben, verarbeitet und gespeichert werden dürfen. Im Recruiting-Kontext sind das vor allem:
- Name, Adresse und Kontaktdaten von Bewerbern
- Lebensläufe, Zeugnisse und Anschreiben
- Bewerbungsgesprächsnotizen und Bewertungen
- Tracking-Daten auf der Karriereseite (Cookies, Analytics)
Die Rechtsgrundlage für die Verarbeitung im Bewerbungskontext ist in Deutschland § 26 BDSG (Durchführung des Beschäftigungsverhältnisses) bzw. Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).
Welche Daten darfst du in Stellenanzeigen erheben?
In der Stellenanzeige selbst erhebst du noch keine Daten — aber du definierst, welche Daten du im Bewerbungsprozess anforderst. Hier gilt der Grundsatz der Datenminimierung: Fordere nur Informationen an, die für die Besetzung der Stelle tatsächlich relevant sind.
- Zulässig: Name, Kontaktdaten, beruflicher Werdegang, Qualifikationen, Gehaltsvorstellung.
- Kritisch: Foto, Geburtsdatum, Familienstand — nur wenn ein sachlicher Grund vorliegt.
- Unzulässig: Fragen nach Religion, Schwangerschaft, Parteizugehörigkeit, sexueller Orientierung.
Datenschutzhinweis in der Stellenanzeige
Jede Stellenanzeige muss einen Datenschutzhinweis enthalten oder darauf verlinken. Dieser Hinweis informiert Bewerber darüber, welche Daten erhoben werden, zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange sie gespeichert werden. Außerdem müssen die Kontaktdaten des Datenschutzbeauftragten und die Rechte der Betroffenen genannt werden.
Ein Link zur Datenschutzerklärung im Fußbereich der Karriereseite reicht in der Regel aus — vorausgesetzt, die Erklärung deckt den Bewerbungskontext ab.
Aufbewahrungsfristen für Bewerbungen
Nach einer Absage müssen Bewerberdaten innerhalb einer angemessenen Frist gelöscht werden. In Deutschland gelten 6 Monate nach Abschluss des Bewerbungsverfahrens als üblich — diese Frist orientiert sich an der Klagefrist nach dem Allgemeinen Gleichbehandlungsgesetz (AGG).
- 6 Monate: Standardfrist für die Aufbewahrung nach Absage.
- Länger nur mit Einwilligung: Willst du Bewerberdaten für spätere Stellen speichern, brauchst du eine ausdrückliche Einwilligung.
- Automatische Löschung: Nutze Systeme, die Daten nach Ablauf der Frist automatisch löschen.
EU-Hosting: Warum der Serverstandort zählt
Wenn du Bewerberdaten über deine Karriereseite oder ein ATS verarbeitest, müssen die Server in der EU stehen — oder es muss ein angemessenes Datenschutzniveau gewährleistet sein (z. B. durch EU-US Data Privacy Framework). In der Praxis ist EU-Hosting die sicherste Option.
Jobflare hostet alle Daten ausschließlich in der EU (Frankfurt am Main). Damit erfüllst du die DSGVO-Anforderungen an den Serverstandort automatisch.
Checkliste: DSGVO-konforme Stellenanzeige
- Datenschutzhinweis verlinkt oder in der Anzeige integriert
- Nur für die Stelle relevante Daten angefordert
- Karriereseite mit SSL-Verschlüsselung (HTTPS)
- Cookie-Banner mit Einwilligungsmöglichkeit
- Aufbewahrungsfristen definiert und technisch umgesetzt
- Server in der EU oder angemessenes Datenschutzniveau
- Auftragsverarbeitungsvertrag (AVV) mit allen Dienstleistern
- Recht auf Auskunft, Löschung und Widerruf gewährleistet
Fazit: Datenschutz ist Vertrauenssache
DSGVO-Konformität ist nicht nur eine rechtliche Pflicht — sie ist auch ein Signal an Bewerber. Wer transparent mit Daten umgeht, baut Vertrauen auf. Gerade in Zeiten des Fachkräftemangels kann das den Unterschied machen. Nutze Tools, die Datenschutz von Anfang an mitdenken — wie Jobflare mit EU-Hosting und DSGVO-konformer Architektur. So bist du rechtlich auf der sicheren Seite und sendest gleichzeitig ein positives Signal an jeden Bewerber.