DSGVO – Definition, Grundsätze & Praxis-Tipps für HR

Die Datenschutz-Grundverordnung (DSGVO) ist die EU-weit geltende Rechtsgrundlage für die Verarbeitung personenbezogener Daten – auch im HR und Recruiting. Sie verpflichtet Unternehmen, Bewerberdaten nur auf einer klar definierten rechtlichen Grundlage zu erheben, Betroffene transparent zu informieren und Daten nach festgelegten Fristen zu löschen. Verstöße können mit Bußgeldern bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden.

Was ist die DSGVO? Definition und Ziel

Die Datenschutz-Grundverordnung (DSGVO, englisch: General Data Protection Regulation / GDPR) ist eine EU-Verordnung, die seit dem 25. Mai 2018 unmittelbar in allen EU-Mitgliedstaaten gilt. Sie löste die bis dahin geltende EU-Datenschutzrichtlinie von 1995 ab und schafft einen einheitlichen Rechtsrahmen für den Umgang mit personenbezogenen Daten in Europa.

Ziel der DSGVO ist der Schutz der Grundrechte natürlicher Personen – insbesondere des Rechts auf informationelle Selbstbestimmung. Unternehmen, Behörden und andere Organisationen, die Daten von EU-Bürger:innen verarbeiten, sind an die DSGVO gebunden – unabhängig davon, ob sie ihren Sitz innerhalb oder außerhalb der EU haben.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu zählen nicht nur Name, Adresse oder Geburtsdatum, sondern auch E-Mail-Adressen, IP-Adressen, Fotos und – im HR-Kontext besonders relevant – Bewerbungsunterlagen, Leistungsbeurteilungen und Assessment-Ergebnisse.

Rechtliche Grundlagen im HR-Kontext

Artikel 6 DSGVO: Rechtsgrundlagen für die Datenverarbeitung

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Artikel 6 DSGVO listet die zulässigen Grundlagen auf. Im HR-Alltag sind vor allem zwei relevant:

• Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Vertragsanbahnung): Daten dürfen verarbeitet werden, wenn dies für die Anbahnung oder Durchführung eines Vertrags erforderlich ist. Im Recruiting bedeutet das: Bewerberdaten dürfen für die Durchführung des Auswahlverfahrens verarbeitet werden – ohne gesonderte Einwilligung.
• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Wenn Daten über den eigentlichen Bewerbungszweck hinaus genutzt werden sollen – z. B. für einen Talent Pool – ist eine freiwillige, informierte Einwilligung der Bewerber:innen erforderlich.

§26 BDSG: Beschäftigtendatenschutz in Deutschland

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO für den deutschen Beschäftigungskontext. §26 BDSG regelt explizit die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses – einschließlich des Bewerbungsverfahrens. Danach ist die Verarbeitung zulässig, wenn sie für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlich ist.

Die 7 Grundsätze der DSGVO (Art. 5)

Artikel 5 DSGVO legt die grundlegenden Prinzipien fest, die bei jeder Datenverarbeitung einzuhalten sind:

1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz – Daten werden nur auf rechtlicher Grundlage und offen verarbeitet.
2. Zweckbindung – Daten dürfen nur für den festgelegten Zweck genutzt werden.
3. Datenminimierung – Es werden nur die Daten erhoben, die für den Zweck tatsächlich notwendig sind.
4. Richtigkeit – Daten müssen aktuell und korrekt sein.
5. Speicherbegrenzung – Daten dürfen nicht länger gespeichert werden als notwendig.
6. Integrität und Vertraulichkeit – Angemessene Sicherheitsmaßnahmen schützen die Daten vor unbefugtem Zugriff.
7. Rechenschaftspflicht – Unternehmen müssen die Einhaltung aller Grundsätze nachweisen können.

DSGVO im Recruiting: Was HR-Teams wissen müssen

Welche Daten dürfen erhoben werden?

Das Prinzip der Datenminimierung gilt auch im Bewerbungsprozess. Erhoben werden darf nur, was für die Besetzungsentscheidung tatsächlich erforderlich ist: Name, Kontaktdaten, Qualifikationen, Berufserfahrung. Unzulässig sind dagegen Fragen nach Schwangerschaft, Religionszugehörigkeit oder anderen Merkmalen, die nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) nicht als Auswahlkriterium herangezogen werden dürfen.

Im Datenschutzhinweis des Bewerbungsformulars muss klar kommuniziert werden, welche Daten zu welchem Zweck verarbeitet werden, wer die verantwortliche Stelle ist und welche Rechte Bewerber:innen haben.

Einwilligung: Wann notwendig – wann nicht?

Eine häufige Unsicherheit im Recruiting: Brauche ich eine Einwilligung der Bewerber:innen?

Für das eigentliche Bewerbungsverfahren in der Regel nicht – Art. 6 Abs. 1 lit. b DSGVO i. V. m. §26 BDSG reicht als Rechtsgrundlage aus. Eine ausdrückliche Einwilligung wird jedoch notwendig, wenn Daten über den ursprünglichen Zweck hinaus genutzt werden sollen – etwa für eine Kandidat:innendatenbank (Talent Pool). Diese Einwilligung muss freiwillig, informiert und nachweisbar erteilt werden. Bewerber:innen müssen sie jederzeit widerrufen können.

Speicherfristen für Bewerberdaten

Nach Ablauf dieser Fristen besteht eine Löschpflicht. HR-Teams sollten daher in ihrem Applicant Tracking System (ATS) automatisierte Löschroutinen oder zumindest Erinnerungen einrichten.

DSGVO und digitale HR-Tools

Auftragsverarbeitungsvertrag (AVV) ist Pflicht

Wer externe Dienstleister nutzt, die personenbezogene Daten im Auftrag verarbeiten – z. B. ein E-Recruiting-System, ein Online-Assessment-Tool oder eine HR-Software in der Cloud – ist nach Art. 28 DSGVO verpflichtet, mit diesen einen Auftragsverarbeitungsvertrag (AVV) abzuschließen. Darin werden die technischen und organisatorischen Maßnahmen (TOMs) zum Datenschutz sowie die Pflichten des Dienstleisters verbindlich geregelt.

Fehlt ein AVV, ist jede Datenübermittlung an den Dienstleister rechtswidrig – unabhängig davon, wie sicher die Software technisch ist.

DSGVO-konforme Eignungsdiagnostik

Auch bei digitalen Assessments im Recruiting gelten die DSGVO-Grundsätze: Bewerber:innen müssen vorab informiert werden, welche Daten erhoben werden und zu welchem Zweck. Die Eignungsdiagnostik hat dabei eine besondere Verantwortung, da sie psychologische und kognitive Daten verarbeitet, die als besonders schützenswert gelten können.

Die digitale Plattform Aivy verarbeitet Bewerberdaten auf Basis eines Auftragsverarbeitungsvertrags, hält technisch-organisatorische Maßnahmen nach aktuellem Stand ein und stellt DSGVO-konforme Assessments bereit. Weitere Informationen zur IT-Sicherheit und zum Datenschutz der Plattform findest du unter hier.

Häufige Fragen zur DSGVO im HR

Was ist die DSGVO?

Die DSGVO (Datenschutz-Grundverordnung) ist eine EU-Verordnung, die seit dem 25. Mai 2018 in Kraft ist. Sie regelt die Verarbeitung personenbezogener Daten in allen EU-Mitgliedstaaten einheitlich und unmittelbar – ohne dass nationale Gesetze zur Umsetzung nötig waren. Ziel ist der Schutz der Grundrechte natürlicher Personen.

Gilt die DSGVO auch für Bewerberdaten?

Ja. Bewerbungsunterlagen, Assessment-Ergebnisse und alle weiteren Daten, die im Rahmen eines Auswahlverfahrens erhoben werden, sind personenbezogene Daten und unterliegen vollumfänglich der DSGVO. Die maßgebliche Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit §26 BDSG – eine gesonderte Einwilligung ist für das Bewerbungsverfahren selbst in der Regel nicht notwendig.

Wie lange dürfen Bewerberdaten gespeichert werden?

Nach einer Absage empfehlen Datenschutzbeauftragte und Aufsichtsbehörden eine Speicherdauer von maximal 6 Monaten. Diese orientiert sich an der Verjährungsfrist für Entschädigungsansprüche nach §15 AGG. Für Talent Pools ist mit einer schriftlichen Einwilligung eine Speicherdauer von bis zu 2 Jahren üblich.

Was passiert bei einem DSGVO-Verstoß?

Verstöße können Aufsichtsbehörden mit Bußgeldern bis zu 20 Millionen Euro oder 4 % des gesamten weltweiten Jahresumsatzes des Unternehmens ahnden – je nachdem, welcher Betrag höher ist (Art. 83 DSGVO). Zusätzlich können Betroffene Schadensersatz geltend machen (Art. 82 DSGVO) und Wettbewerber oder Verbände abmahnen.

Brauche ich für HR-Software einen Auftragsverarbeitungsvertrag?

Ja. Wenn ein externer Softwareanbieter personenbezogene Daten im Auftrag deines Unternehmens verarbeitet – was bei nahezu jedem Cloud-basierten HR-Tool der Fall ist – schreibt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV) vor. Ohne diesen Vertrag ist die Datenübertragung an den Anbieter rechtswidrig.

Wann ist eine Einwilligung im Recruiting notwendig?

Für das reguläre Bewerbungsverfahren braucht es keine Einwilligung – die Vertragsanbahnung nach Art. 6 Abs. 1 lit. b DSGVO reicht. Eine Einwilligung wird jedoch notwendig, wenn du Bewerberdaten über das laufende Verfahren hinaus speichern möchtest, z. B. für zukünftige Stellen (Talent Pool), oder wenn du Daten für andere Zwecke nutzen möchtest, die nicht unmittelbar mit der Stellenbesetzung zusammenhängen.

Was sind technisch-organisatorische Maßnahmen (TOMs)?

TOMs sind Sicherheitsmaßnahmen, die Unternehmen nach Art. 32 DSGVO ergreifen müssen, um personenbezogene Daten zu schützen. Dazu zählen technische Maßnahmen wie Verschlüsselung, Zugriffsberechtigungskonzepte und regelmäßige Backups, aber auch organisatorische Maßnahmen wie Schulungen, Vertraulichkeitsvereinbarungen und Zugangskontrollen. TOMs müssen im AVV mit externen Dienstleistern dokumentiert sein.

Fazit

Die DSGVO ist kein bürokratisches Hindernis, sondern ein rechtlicher Rahmen, der das Vertrauen von Bewerber:innen und Mitarbeiter:innen in deine HR-Prozesse stärkt. Für HR-Verantwortliche sind drei Dinge entscheidend: erstens die richtige Rechtsgrundlage für jede Datenverarbeitung kennen, zweitens klare Speicher- und Löschfristen implementieren und drittens bei allen externen Tools und Plattformen auf einen gültigen Auftragsverarbeitungsvertrag achten.

Wer digitale Assessments oder E-Recruiting-Tools einsetzt, sollte DSGVO-Konformität als Auswahlkriterium für Anbieter behandeln – nicht nur als Pflicht, sondern als Zeichen von Professionalität gegenüber Kandidat:innen und als Schutz vor haftungsrechtlichen Risiken.

Möchtest du erfahren, wie DSGVO-konforme Eignungsdiagnostik in der Praxis aussieht? Mehr über IT-Sicherheit und Datenschutz bei Aivy erfahren.

Quellen

• Datenschutz-Grundverordnung (EU) 2016/679. Europäisches Parlament und Rat der EU, 2016. https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679
• Bundesdatenschutzgesetz (BDSG), insb. §26 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Deutscher Bundestag, 2018. https://www.gesetze-im-internet.de/bdsg_2018/__26.html
• Informationen zur DSGVO. Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI). https://www.bfdi.bund.de/DE/Datenschutz/Ueberblick/ueberblick_node.html
• Guidelines on the processing of personal data in the context of employment. Europäischer Datenschutzausschuss (EDSA), 2022. https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-032022-processing-personal-data-context-employment_de
• Leitfaden Datenschutz im Personalwesen. Bitkom e.V., 2022. https://www.bitkom.org
• Wybitul, Marc: Arbeitnehmerdatenschutz nach DSGVO und BDSG. 2018.