Seit 2018 gilt die DSGVO — und 2026 sind die Bußgelder höher denn je. Allein im Recruiting verhängten deutsche Aufsichtsbehörden im letzten Jahr Strafen über 4,2 Millionen Euro, meist wegen falsch gespeicherter Bewerberdaten. Hier ist die Checkliste, die jedes deutsche KMU 2026 abarbeiten muss. Die 14 Punkte, die wirklich zählen 1. Rechtsgrundlage für jede Datenerhebung Bewerberdaten dürfen Sie nur auf Basis von Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme) verarbeiten. Werbeeinwilligung für Talent-Pool: separat per Opt-in. 2. Datenminimierung Fragen Sie nur das, was für die Stelle relevant ist. Familienstand, Konfession, Foto sind keine Pflichtangaben — und ihr Fehlen darf den Auswahlprozess nicht beeinflussen. 3. Speicherbegrenzung — die berühmten 6 Monate Nach Absage: maximal 6 Monate aufbewahren (für AGG-Klagen). Danach: automatische Löschung oder dokumentierte Einwilligung in den Talent-Pool. 4. Datenschutzhinweis im Bewerbungsformular Pflicht: vor Absenden des Formulars sichtbar, mit Auflistung der Empfänger, Speicherdauer, Betroffenenrechte. 5. Auftragsverarbeitungsvertrag (AVV) mit jedem Tool ATS, E-Mail-Anbieter, Video-Interview-Tool — für jeden brauchen Sie einen AVV nach Art. 28 DSGVO. Tools wie Flowxtra liefern den AVV bereits unterschriftsreif. 6. Server-Standort EU Empfohlen: Datenverarbeitung ausschließlich in der EU. US-Tools ohne klare Schrems-II-Lösung sind 2026 ein Bußgeldrisiko. 7. Recht auf Löschung — innerhalb von 30 Tagen Bewerber muss per E-Mail oder Self-Service löschen können. Manuelle Löschung ist möglich, aber fehleranfällig — automatisierte ATS-Funktionen sind sicherer. 8. Auskunftsrecht (Art. 15) Auf Anfrage müssen Sie binnen 30 Tagen alle gespeicherten Daten herausgeben — inkl. Bewertungen, Notizen, E-Mail-Verläufe. 9. Diskriminierungsfreie KI-Filter Wenn Sie KI-gestütztes CV-Screening nutzen: dokumentieren Sie die Logik (Art. 22 DSGVO). Black-Box-Tools ohne Erklärbarkeit sind hochriskant. 10. Verarbeitungsverzeichnis Pflicht ab 1 Mitarbeiter. Listen Sie alle Recruiting-Prozesse auf — Quelle, Zweck, Empfänger, Löschfrist. 11. Datenschutz-Folgenabschätzung bei Profiling Wenn KI Bewerber automatisch vorsortiert: DSFA durchführen und dokumentieren. 12. Mitarbeiterschulung Jeder Recruiter muss DSGVO-Schulung nachweisen können. Mindestens jährliche Auffrischung. 13. Meldepflicht bei Datenpanne Innerhalb von 72 Stunden an die Aufsichtsbehörde. Vorbereitete Meldevorlage und Notfallplan dringend empfohlen. 14. Datenschutzbeauftragter (DSB) Pflicht ab 20 Mitarbeitern, die personenbezogene Daten verarbeiten. Externe DSBs kosten ca. 200-500€/Monat. Welche Tools erleichtern die Compliance? Die meisten ATS-Systeme erfüllen die Basis. Bei deutschen KMUs entscheidet die Detailtiefe: EU-Server-Standort standardmäßig (kein US-Datentransfer) Automatische Löschung nach konfigurierbaren Fristen Self-Service-Portal für Bewerber-Auskunfts- und Löschanfragen AVV unterschriftsreif ohne extra Anfrage Audit-Logs für jede Datenoperation (wer, wann, was) Flowxtra erfüllt alle fünf Punkte standardmäßig in jedem Plan — inklusive vollständiger Datenschutzdokumentation und EU-Hosting. Die häufigsten Fehler 2026 E-Mails mit Bewerbungen in normalen Postfächern aufbewahren — keine Löschfrist, kein Audit-Log, hohes Risiko. Bewerberdaten an Headhunter weitergeben ohne explizite Einwilligung. Talent-Pool ohne Opt-in — automatisches Speichern abgelehnter Bewerber für künftige Stellen ist nicht zulässig. Excel-Listen auf privaten Laptops — keine Verschlüsselung, keine Zugriffsbeschränkung. Fazit DSGVO im Recruiting ist 2026 keine Theorie mehr — Aufsichtsbehörden prüfen aktiv. Für deutsche KMUs lohnt sich ein modernes ATS mit eingebauten Compliance-Funktionen mehr denn je. Testen Sie Flowxtra kostenlos — 3 aktive Stellen, EU-Hosting, AVV inklusive, keine Kreditkarte.