DSGVO im Recruiting 2026: Die Praktische 12-Punkte-Checkliste für KMU

Die DSGVO im deutschen Recruiting hat 2025-2026 eine neue Welle an Prüfungen ausgelöst. Die Datenschutzbehörden in Bayern, NRW und Berlin haben mehrfach Bußgelder gegen KMU verhängt — meistens nicht wegen großer Verstöße, sondern wegen vermeidbarer Standardfehler im Umgang mit Bewerberdaten.

Diese Checkliste fasst auf 12 konkrete Punkte zusammen, was eine deutsche KMU 2026 in ihrem Recruiting-Prozess umsetzen muss. Ein modernes Bewerbermanagementsystem automatisiert die meisten dieser Punkte nativ — wer manuell arbeitet, riskiert Lücken, die teuer werden.

1. Dokumentierte Rechtsgrundlage je Datenverarbeitung

Für den eigentlichen Bewerbungsprozess: berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Für die Aufnahme in einen Talentpool nach Absage: ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a. Beide Rechtsgrundlagen müssen separat dokumentiert sein — nicht in einer pauschalen Klausel zusammengeworfen.

2. Standard-Aufbewahrungsfrist von 6 Monaten

Für abgelehnte Bewerber empfiehlt die Konferenz der unabhängigen Datenschutzaufsichtsbehörden (DSK) eine Frist von maximal 6 Monaten — länger nur mit ausdrücklicher Einwilligung des Bewerbers für eine Talentpool-Aufnahme. Im AGG-Kontext werden 6 Monate als ausreichende Beweissicherung anerkannt.

3. Automatische Löschung nach Ablauf der Frist

Manuelle Löschung passiert in einer realen KMU mit echtem Bewerbungsvolumen praktisch nie. Das ATS muss die Daten automatisch löschen, mit revisionssicherem Audit-Log. Dies ist der häufigste Befund bei Aufsichtsprüfungen.

4. Auskunftsrecht innerhalb von 30 Tagen

Ein Bewerber kann nach Art. 15 DSGVO eine Datenauskunft verlangen — die Antwort muss vollständig (alle gespeicherten Felder, E-Mail-Korrespondenz, Interviewer-Notizen, Original-CV) und innerhalb von 30 Tagen in maschinenlesbarem Format erfolgen. Modernes kostenlose Recruiting-Software generiert dieses Paket per Klick.

5. Recht auf Löschung („Recht auf Vergessenwerden")

Die vom Bewerber angeforderte Löschung muss sofort umsetzbar sein und alle Systeme erfassen — einschließlich Backups und Kopien in E-Mail-Tools. Wenn das ATS die Löschung nicht in allen integrierten Systemen dokumentiert, bleibt das Unternehmen exponiert.

6. Datenstandort EU oder zertifizierte Regionen

Nach dem EuGH-Urteil zum „Privacy Shield" ist die Datenhaltung von Bewerberdaten ausschließlich in den USA juristisch riskant. Server in der EU (Frankfurt, Dublin) oder in zertifizierten Drittländern mit Standardvertragsklauseln sind die sichere Wahl. Prüfen Sie bei Ihrem ATS-Anbieter den tatsächlichen Speicherort, bevor Sie unterschreiben.

7. Granulare Einwilligung im Bewerbungsformular

Drei separate Checkboxen, nicht vorausgewählt:

Verarbeitung für die konkrete Bewerbung (berechtigtes Interesse — Häkchen optional, weil rechtlich nicht erforderlich) Aufnahme in den Talentpool (Pflicht-Häkchen, sonst nicht zulässig) Marketing-Kommunikation (separat, nicht gekoppelt)

8. Verzeichnis von Verarbeitungstätigkeiten exportierbar

Art. 30 DSGVO verpflichtet zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten. Für eine KMU deckt dies normalerweise Recruiting, HR, Marketing, Vertrieb ab. Das ATS muss den Recruiting-Teil automatisch generieren — manuell ist nicht skalierbar.

9. Meldung von Datenschutzverletzungen binnen 72 Stunden

Bei einem Data Breach mit Bewerberdaten müssen die Aufsichtsbehörde sowie betroffene Bewerber binnen 72 Stunden informiert werden. Das ATS sollte dokumentierte Verfahren und Zugriffslogs haben, um den Umfang einer Verletzung schnell einzugrenzen.

10. Auftragsverarbeitungsvertrag (AVV) mit dem ATS-Anbieter

Der ATS-Anbieter ist Auftragsverarbeiter. Art. 28 DSGVO verlangt einen schriftlichen Vertrag, der Umfang, technische Sicherheitsmaßnahmen und Meldepflichten regelt. Ohne unterzeichneten AVV trägt das Unternehmen das volle regulatorische Risiko allein.

11. Keine vollständig automatisierten Entscheidungen

Art. 22 DSGVO untersagt vollständig automatisierte Entscheidungen mit erheblicher Rechtswirkung — dazu zählt eine reine Algorithmus-Ablehnung von Bewerbungen — ohne ausdrückliche Einwilligung oder menschliche Aufsicht. KI-gestütztes Screening darf vorschlagen, der Recruiter muss die Endentscheidung treffen. Mehr dazu im Artikel zum AI Recruiting Agent .

12. Folgenabschätzung bei KI-Systemen

Für KI-gestützte Recruiting-Systeme (nach EU AI Act als Hochrisiko-System klassifiziert) ist eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO verpflichtend. Bei klassischen, nicht-KI-Systemen ist die Pflicht weniger streng, aber empfohlen.

Vergleich: manuelle vs. ATS-native Compliance

Anforderung Manuell ATS-nativ Automatische Löschung Wird oft vergessen Läuft automatisch zur konfigurierten Frist Auskunftsanfragen Stunden manueller Arbeit Export per Klick Verzeichnis nach Art. 30 Excel-Tabelle Automatisch generiert Audit-Trails Existiert nicht Jeder Zugriff geloggt Datenstandort Anbieter-abhängig Konfigurierbar (EU/Global) AVV Wird oft vergessen Standard im Onboarding

Umsetzung in unter einer Stunde

Standard-Aufbewahrungsfrist auf 6 Monate konfigurieren (5 Min) Automatische Löschung und Audit-Logs aktivieren (5 Min) Granulare Einwilligungen ins Bewerbungsformular integrieren (15 Min) Datenstandort des Anbieters überprüfen (5 Min) AVV anfordern und archivieren (10 Min) Verzeichnis von Verarbeitungstätigkeiten aktualisieren (15 Min) Test-Auskunftsanfrage mit fiktivem Bewerber durchführen (5 Min)

Flowxtra setzt alle 12 Punkte nativ in jedem Plan um, einschließlich des kostenlosen. Es gibt keine bezahlte „Compliance-Stufe" — Datenschutz ist die Basis, wie es sein sollte.

DSGVO-konformes Flowxtra-Konto kostenlos erstellen

Keine Kreditkarte erforderlich. Native DSGVO-Konformität. Jederzeit kündbar.