Der Bewerbungsprozess ist eine der datenschutzkritischsten Phasen im Personalwesen. Lebensläufe, Zeugnisse, Fotos, Gesundheitsinformationen, manchmal sensible persönliche Angaben — eine typische Bewerbung enthält mehr personenbezogene Daten als jede andere Datenerhebung im Unternehmen. Trotzdem ist die DSGVO-konforme Praxis im Mittelstand 2026 oft erschreckend lückenhaft. Bewerbungen liegen jahrelang in E-Mail-Postfächern, Lebensläufe wandern durch ungesicherte Cloud-Ordner, Daten aus alten Recruiting-Kampagnen werden nie gelöscht. Diese Praxis ist nicht nur rechtlich riskant, sie verschärft auch die Anfälligkeit für Datenpannen und macht Unternehmen angreifbar. Dieser Artikel zeigt, was sauber funktioniert.
Rechtlicher Hinweis vorab: Dieser Artikel ist eine HR- und Compliance-orientierte Einordnung, keine Rechtsberatung. Bei konkreten DSGVO-Fragestellungen, Audit-Vorbereitungen oder Datenpannen sollten Sie sich an einen spezialisierten Datenschutzbeauftragten oder einen Fachanwalt für IT-Recht wenden. Die Bußgelder bei Verstößen können erheblich sein und je nach Schwere und Unternehmensgröße sehr unterschiedlich ausfallen.
Die Kurzfassung: DSGVO-konform Bewerbungen bearbeiten heißt: nur die nötigen Daten erheben, klar dokumentieren wofür sie genutzt werden, Aufbewahrungsfristen einhalten, Löschroutinen etablieren. Die wichtigsten Stellschrauben sind die Zweckbindung (was darf erhoben werden), die Aufbewahrungsfrist (typisch sechs Monate nach Abschluss des Verfahrens, wegen AGG-Klagefristen), die Talentpool-Aufnahme (nur mit ausdrücklicher Einwilligung) und der Schutz der Daten gegen unbefugten Zugriff. Wer diese vier Punkte sauber löst, hat die Hauptrisiken im Griff. Die meisten Mittelständler scheitern an Punkt drei — der konsequenten Löschung nach Verfahrensende.
Was rechtlich der Rahmen ist
Die DSGVO regelt die Verarbeitung personenbezogener Daten in der EU. Im Bewerbungsverfahren ist die wichtigste Rechtsgrundlage Artikel 6 Absatz 1 lit. b DSGVO — die Datenverarbeitung zur Durchführung vorvertraglicher Maßnahmen. Eine Bewerbung ist genau das: eine vorvertragliche Phase, in der Daten erhoben werden, um über den Abschluss eines Arbeitsvertrags zu entscheiden.
Hinzu kommt § 26 BDSG (Bundesdatenschutzgesetz), der spezifische Regeln für den Beschäftigtenkontext enthält. Auch das BDSG erlaubt die Datenverarbeitung im Bewerbungsverfahren, knüpft sie aber an die Erforderlichkeit für die Begründung eines Beschäftigungsverhältnisses.
Aus diesen beiden Rechtsgrundlagen ergeben sich drei zentrale Prinzipien für den Bewerbungsprozess.
Erstens die Zweckbindung. Daten dürfen nur für den Zweck erhoben und verarbeitet werden, für den sie ursprünglich gedacht sind — die Entscheidung über die konkrete Stelle. Eine spätere Nutzung für andere Zwecke (Direktansprache für andere Stellen, Marktforschung, Weitergabe an Dritte) ist nicht ohne weiteres zulässig.
Zweitens die Datenminimierung. Es dürfen nur die Daten erhoben werden, die für die Entscheidung tatsächlich erforderlich sind. Eine Bewerbungsformular-Frage nach dem Familienstand, der Religionszugehörigkeit, der politischen Einstellung oder vergleichbaren Themen ist nicht zulässig, weil diese Informationen für die Entscheidung über eine Stelle in den allermeisten Fällen irrelevant sind.
Drittens die Speicherbegrenzung. Daten dürfen nur so lange aufbewahrt werden, wie sie für den Zweck erforderlich sind. Nach Abschluss des Verfahrens müssen sie gelöscht werden — mit Ausnahme der Daten der eingestellten Person, die ins Personalverfahren übergehen.
Welche Daten erhoben werden dürfen
Die Faustregel: Erlaubt sind die Daten, die für die fachliche und persönliche Beurteilung der Eignung relevant sind. Verboten oder problematisch sind Daten, die nur der Diskriminierung dienen könnten oder mit der konkreten Stelle nichts zu tun haben.
Konkret zulässig sind: Name, Kontaktdaten, Geburtsdatum (für den späteren Vertrag), Bildungsabschlüsse, Berufserfahrung, fachliche Qualifikationen, Sprachen, gewünschtes Einstiegsdatum, gewünschte Vergütung, Lebenslauf-Anhang, Zeugnisse, Anschreiben. Diese Daten sind in nahezu jedem Bewerbungsverfahren angemessen, weil sie unmittelbar für die fachliche Eignungsbewertung benötigt werden und ihre Erhebung durch die Anbahnung des Arbeitsvertrags gerechtfertigt ist.
Konkret problematisch sind: Familienstand, Anzahl und Alter der Kinder, Religionszugehörigkeit, ethnische Herkunft, Schwerbehinderung (außer bei besonderen Schutzpflichten), politische Einstellung, Gewerkschaftsmitgliedschaft, Schwangerschaft. Diese Daten sind durch AGG geschützt, und ihre Erhebung kann als Indiz für eine diskriminierende Auswahl gewertet werden.
Ein besonderes Thema ist das Bewerbungsfoto. Es ist rechtlich nicht zwingend, wird in Deutschland aber traditionell oft mitgeschickt. Wer ein Foto verlangt, befindet sich in einer Grauzone — bei einer AGG-Klage könnte das Foto als Indiz für diskriminierende Auswahlmotive (Alter, Aussehen, ethnische Herkunft) ins Spiel kommen. Sichere Praxis: Bewerbungsfotos nicht aktiv anfordern. Wer freiwillig ein Foto mitschickt, kann das tun, aber das Unternehmen sollte dokumentieren, dass es nicht verlangt wurde.
Jede Datenerhebung, die nichts mit der Eignung für die konkrete Stelle zu tun hat, ist ein potenzielles AGG-Risiko. Datenminimierung ist nicht nur DSGVO, sondern auch Compliance.
Wann gelöscht werden muss
Der kritischste Punkt in der Praxis. Bewerbungsdaten müssen nach Abschluss des Verfahrens gelöscht werden — aber wann genau ist das Verfahren abgeschlossen, und welche Fristen muss der Arbeitgeber dabei einhalten?
Die orientierende Antwort liegt im AGG. Eine abgelehnte Bewerberin kann nach § 15 AGG innerhalb von zwei Monaten nach Zugang der Ablehnung eine Diskriminierungsklage einreichen. Diese Klage muss innerhalb von drei Monaten nach Ablauf dieser zwei Monate gerichtlich geltend gemacht werden. Damit ergibt sich ein Zeitfenster von rund fünf bis sechs Monaten, in dem der Arbeitgeber im Klagefall belegen können muss, dass die Ablehnung nicht diskriminierend war.
Aus diesem Grund ist die Standard-Empfehlung der Datenschutzbehörden, Bewerbungsdaten nach Abschluss des Verfahrens noch sechs Monate aufzubewahren und dann zu löschen. Diese sechs Monate sind ein Kompromiss zwischen DSGVO-Speicherbegrenzung und dem berechtigten Interesse des Arbeitgebers, sich im AGG-Klagefall verteidigen zu können.
Wichtig ist die konsequente Löschung danach. Wer nach sechs Monaten nicht löscht, verstößt gegen die DSGVO. Die Löschung muss vollständig sein — Lebensläufe, E-Mail-Anhänge, Notizen, gespeicherte Datenbankeinträge, alles. Eine Bewerbung, die in einem alten Outlook-Postfach noch nach drei Jahren auffindbar ist, ist ein klarer DSGVO-Verstoß.
Was die häufigsten Fehler sind
Fehler 1: E-Mail-Postfach als Bewerbungsarchiv
Der wahrscheinlich häufigste Fehler. Bewerbungen kommen per E-Mail an die HR-Adresse, werden gelesen, beantwortet, archiviert. Nach Jahren liegen tausende Bewerbungen im Postfach — vollständig durchsuchbar, von mehreren Mitarbeitenden zugänglich, ohne Löschroutinen.
Die Lösung ist eine strukturierte Verarbeitung. Bewerbungen werden zeitnah in ein gesondertes System überführt — entweder ein Bewerbermanagement-System (BMS) oder eine speziell gesicherte Datenablage. Nach Übertragung wird die Original-E-Mail gelöscht. Im BMS oder in der Ablage gibt es klare Aufbewahrungsfristen, die automatisiert oder durch monatliche Routinen umgesetzt werden.
Fehler 2: Keine Information der Bewerber
Bewerber haben nach Artikel 13 DSGVO Anspruch auf bestimmte Informationen über die Datenverarbeitung — welche Daten erhoben werden, zu welchem Zweck, wie lange sie gespeichert werden, welche Rechte sie haben. Diese Information muss zum Zeitpunkt der Datenerhebung gegeben werden.
Die Lösung ist eine Datenschutzinformation, die bei jeder Bewerbung sichtbar ist. Auf der Karriereseite, im Bewerbungsformular, in der ersten Antwort-E-Mail. Diese Information muss verständlich formuliert sein, nicht juristisches Kauderwelsch. Eine einseitige Datenschutzhinweis-Seite mit Link aus dem Formular reicht meist aus.
Fehler 3: Keine Einwilligung für Talentpool-Aufnahme
Wenn eine Bewerbung abgelehnt wird, aber der Bewerber für künftige Stellen interessant erscheint, möchten viele Unternehmen die Daten im „Talentpool" behalten. Diese längere Speicherung ist nicht von der ursprünglichen Zweckbindung gedeckt und erfordert eine separate, ausdrückliche Einwilligung des Bewerbers.
Die saubere Praxis: Bei der Ablehnung wird der Bewerber gefragt, ob er einer Aufnahme in den Talentpool zustimmt. Die Einwilligung ist freiwillig, widerrufbar, und mit klarer Befristung (typisch ein bis zwei Jahre). Ohne diese Einwilligung müssen die Daten nach sechs Monaten gelöscht werden, unabhängig vom strategischen Interesse des Unternehmens.
Fehler 4: Datenzugriff durch zu viele Mitarbeitende
Bewerbungsdaten sind sensibel. Sie sollten nur den Personen zugänglich sein, die für die Auswahlentscheidung verantwortlich sind. In der Praxis liegen Bewerbungen oft auf gemeinsamen Laufwerken, zu denen das gesamte Team Zugriff hat. Diese Praxis verstößt gegen die DSGVO-Pflicht zur Datenminimierung im Zugriff.
Die Lösung ist eine klare Berechtigungsstruktur. Zugriff haben nur die HR-Verantwortliche und die für die Stelle zuständige Führungskraft. Andere Personen, etwa weitere Teammitglieder, bekommen nur die ausgewählten Informationen, die für ihren Beitrag zur Entscheidung relevant sind — nicht die vollständige Bewerbungsmappe.
Fehler 5: Keine dokumentierte Verarbeitungstätigkeit
Unternehmen ab 20 Mitarbeitenden, die regelmäßig personenbezogene Daten verarbeiten, müssen ein Verzeichnis der Verarbeitungstätigkeiten führen (Artikel 30 DSGVO). Die Bewerbungsverarbeitung gehört zu den typischen Tätigkeiten, die dort dokumentiert werden müssen.
Die Dokumentation ist nicht aufwändig. Sie enthält: Zweck der Verarbeitung, Kategorien betroffener Personen, Kategorien erhobener Daten, Empfänger, Aufbewahrungsfristen, technische und organisatorische Sicherheitsmaßnahmen. Eine halbe Seite genügt für den Bewerbungsprozess. Wer kein solches Verzeichnis hat, ist im Audit-Fall angreifbar.
Wie ein DSGVO-konformer Prozess aussieht
Aus den genannten Punkten ergibt sich eine Routine, die jedes Mittelstandsunternehmen aufbauen kann. Sieben Schritte.
Schritt 1: Datenschutzhinweis vorbereiten. Eine einseitige, verständliche Information zu Datenerhebung, Verarbeitung, Speicherung, Rechten der Bewerber. Wird auf der Karriereseite verlinkt und in der ersten Bewerbungsbestätigung erwähnt.
Schritt 2: Bewerbungsweg sicher gestalten. Bewerbungen kommen entweder über ein verschlüsseltes Online-Formular oder per E-Mail an eine dafür reservierte Adresse. Bei E-Mail-Bewerbungen sollte ein Hinweis erfolgen, dass diese Form weniger geschützt ist als das Formular.
Schritt 3: Strukturierte Erfassung. Eingehende Bewerbungen werden zeitnah in das BMS oder die strukturierte Datenablage überführt. Die ursprüngliche E-Mail wird gelöscht oder archiviert, je nach betrieblicher Praxis.
Schritt 4: Zugriffsrechte setzen. Klar definiert, wer auf welche Daten Zugriff hat. HR-Verantwortliche und die zuständige Führungskraft als Standardgruppe, andere nur auf konkret notwendige Auszüge.
Schritt 5: Verfahren dokumentieren. Die einzelnen Schritte der Auswahl werden im BMS oder einer parallelen Notiz festgehalten. Bei Ablehnung wird ein kurzes, neutrales Begründungsfeld gefüllt — nicht für den Bewerber, sondern für die interne AGG-Verteidigungsfähigkeit.
Schritt 6: Ablehnung kommunizieren. Eine schriftliche Ablehnung wird zeitnah verschickt, mit Frage nach Talentpool-Einwilligung. Die Frist von sechs Monaten beginnt mit dem Zugang dieser Ablehnung.
Schritt 7: Löschung nach Frist. Nach sechs Monaten werden die Daten der abgelehnten Bewerber gelöscht. Diese Routine wird monatlich ausgeführt, manuell oder automatisiert. Bei eingestellten Mitarbeitenden gehen die Daten in das Personalverfahren über, mit dort geltenden längeren Aufbewahrungsfristen.
Praxis-Fall: Mittelständler entdeckt versehentliches Daten-Vermächtnis
Ein Sanitärbetrieb mit 28 Mitarbeitenden in Niedersachsen führte 2025 eine interne Datenschutz-Bestandsaufnahme durch, ausgelöst durch eine Anfrage einer ehemaligen Bewerberin, die wissen wollte, welche Daten der Betrieb noch von ihr gespeichert habe. Die Bewerbung lag knapp drei Jahre zurück, die Stelle war damals anderweitig besetzt worden.
Die Bestandsaufnahme förderte zutage, was viele Mittelständler nicht wissen wollen: Die ursprüngliche Bewerbung lag noch im E-Mail-Postfach der HR-Verantwortlichen, kopiert in einen Ordner auf dem Server, weitergeleitet an die damalige Werkleitung, die sie ebenfalls archiviert hatte. Insgesamt existierten vier Speicherorte derselben Bewerbungsdaten, kein einziger DSGVO-konform.
Der Betrieb reagierte. Innerhalb von zwei Wochen wurden alle gefundenen Bewerbungen aus den letzten drei Jahren gelöscht, soweit die Bewerber nicht eingestellt worden waren. Eine schriftliche Datenschutzinformation für die Karriereseite wurde erstellt. Eine neue Routine etabliert, in der Bewerbungen zentral nur in einem System lagen und nach sechs Monaten automatisch gelöscht wurden.
Die ehemalige Bewerberin bekam eine ehrliche Antwort: Ihre Daten waren versehentlich länger gespeichert worden als zulässig, seien jetzt aber vollständig gelöscht, ein Auskunfts- und Löschnachweis wurde mitgeschickt. Sie reagierte überraschend versöhnlich — die ehrliche Reaktion hatte mehr Wirkung als jede Verteidigung.
Der Geschäftsführer fasste später zusammen: „Wir haben Glück gehabt. Wenn diese Bewerberin statt einer Anfrage eine Beschwerde bei der Datenschutzbehörde eingereicht hätte, wäre die Sache wahrscheinlich teuer geworden. Die Aufräumarbeit hätten wir uns sparen können, wenn wir von Anfang an eine saubere Routine gehabt hätten."
Was bei einer Datenpanne zu tun ist
Trotz aller Sorgfalt können Datenpannen passieren — ein versehentlich weitergeleitetes E-Mail mit Lebensläufen, ein verloren gegangener USB-Stick mit Bewerbungsdaten, ein erfolgreicher Phishing-Angriff. Die DSGVO verlangt in solchen Fällen eine Meldung an die zuständige Datenschutzbehörde innerhalb von 72 Stunden, sofern die Datenpanne ein Risiko für die betroffenen Personen begründet.
Die zuständigen Behörden sind in Deutschland die Landesdatenschutzbeauftragten, jede mit eigener Zuständigkeit nach Bundesland. Die Meldung erfolgt typisch über ein Online-Formular und enthält: Art der Verletzung, ungefähre Zahl betroffener Personen, mögliche Folgen, ergriffene oder geplante Gegenmaßnahmen.
Zusätzlich müssen unter bestimmten Voraussetzungen auch die betroffenen Personen direkt informiert werden, wenn die Datenpanne ein hohes Risiko für ihre Rechte und Freiheiten birgt. Diese Information sollte verständlich und ehrlich sein, mit klaren Empfehlungen, was die betroffene Person tun kann.
Die wichtigste Vorsorge ist eine klare interne Routine, was im Pannenfall zu tun ist. Wer muss wann informiert werden, wer trifft welche Entscheidung, wer kommuniziert nach außen. Diese Routine muss nicht aufwändig sein, aber sie muss existieren — sonst gehen die 72 Stunden ungenutzt verloren. Eine einseitige Notfall-Checkliste in der Schreibtisch-Schublade der HR-Verantwortlichen genügt für die meisten Mittelständler. Wichtig ist, dass sie nicht erst im Ernstfall erstellt wird, sondern in ruhiger Zeit, wenn klar denken möglich ist.
Wenn eine Agentur Bewerbungen vorqualifiziert
Eine besondere Konstellation, die im Mittelstand zunehmend wichtig wird. Wer mit einer Recruiting-Agentur arbeitet, die Bewerbungen vorqualifiziert und nur die geeigneten weiterreicht, hat einen klassischen Fall der Auftragsverarbeitung nach Artikel 28 DSGVO. Die Bewerbungsdaten werden bei der Agentur verarbeitet, die im Auftrag des Unternehmens handelt.
Diese Konstellation erfordert einen schriftlichen Auftragsverarbeitungsvertrag (AVV) zwischen Auftraggeber und Agentur. Der Vertrag regelt, welche Daten verarbeitet werden, zu welchem Zweck, mit welchen Sicherheitsmaßnahmen, wie lange, wer im Pannenfall haftet. Ohne diesen Vertrag ist die Datenweitergabe nicht DSGVO-konform.
Ein guter AVV ist nicht kompliziert und liegt bei seriösen Recruiting-Agenturen standardmäßig vor. Wer mit einer Agentur arbeitet und keinen AVV unterschrieben hat, sollte das nachholen — die Verantwortung liegt am Ende beim Unternehmen als Auftraggeber, nicht bei der Agentur als Auftragsverarbeiter.
Zusätzlich sollte der Bewerbungsweg klar kommuniziert sein. Wenn die Bewerbung erst bei der Agentur landet, muss das in der Datenschutzinformation klar erwähnt werden. Bewerber haben ein Recht zu wissen, wer ihre Daten erhält. Eine Karriereseite, die diesen Umstand verschweigt, ist nicht transparent im Sinne der DSGVO.
Wann eine vertiefte Beratung sinnvoll ist
Ein ehrlicher Hinweis. Die hier dargestellten Grundlagen reichen für die saubere Standardpraxis im Mittelstand. Es gibt aber Konstellationen, in denen eine vertiefte Beratung sinnvoll ist.
Erstens bei der Erstaufsetzung eines Bewerbungsprozesses. Wer aus einem unstrukturierten Zustand kommt und eine neue Routine etablieren möchte, profitiert von einer einmaligen externen Beratung, die die individuelle Situation berücksichtigt — Branche, Unternehmensgröße, vorhandene Systeme.
Zweitens bei Audit-Anlässen. Wenn die Datenschutzbehörde anfragt, ist schnelles und professionelles Handeln entscheidend. Hier ist eine fachliche Begleitung nicht optional.
Drittens bei besonderen Konstellationen. Internationale Bewerbungen, Bewerbungen aus dem Drittland, der Umgang mit besonders sensiblen Daten (Gesundheit, Sicherheitsüberprüfungen für bestimmte Branchen). In diesen Fällen sind die DSGVO-Anforderungen komplexer und brauchen spezifische Lösungen.
Für den klassischen Mittelstand mit überschaubarem Bewerbungsaufkommen ist die saubere Standardpraxis aber gut etablierbar. Die hier beschriebenen sieben Schritte reichen in den allermeisten Fällen aus, um auf der sicheren Seite zu sein und gleichzeitig den Bewerbungsprozess effizient zu gestalten.
Ist Ihr Bewerbungsprozess DSGVO-konform?
In einer 30-minütigen Potenzialanalyse prüfen wir, ob Ihr aktuelles Bewerbungs-Setup die wichtigsten DSGVO-Anforderungen erfüllt und welche Stellschrauben Sie ohne großen Aufwand verbessern können. Direkt mit dem Geschäftsführer.
Weiterlesen: WhatsApp im Recruiting: DSGVO und Setup / Bewerbungsweg im Vergleich
Sie suchen eine Agentur, die Recruiting-Prozesse rechtssicher aufsetzt? Der Agentur-Ansatz der dot-gruppe.
Weiterführend: AGG-konforme Stellenausschreibung: Die häufigsten Stolpersteine — und wie sie sich vermeiden lassen.