Menu
Fehler beim Datenschutz von Rekrutierungsdaten

Datenschutz im Recruiting: Häufige praktische Fehler und wie man sie vermeidet

Häufige Datenschutzfehler im Recruiting umfassen das Erheben übermäßiger Kandidatendaten, die Verarbeitung sensibler Kategorien ohne dokumentierte Rechtsgrundlage, das übermäßige Teilen per E-Mail oder in Tabellenkalkulationen, schwache rollenbasierte Zugriffsrechte sowie das Aufbewahren von Unterlagen über definierte Aufbewahrungsfristen hinaus. Kontrollen sollten eine Zweckbindung je Datenfeld, granulare Einwilligungen für optionale Verwendungszwecke, sicheres Teilen über ein ATS mit zeitlich begrenztem Zugriff, Verschlüsselung bei der Übertragung und im Ruhezustand sowie Audit-Logs für sämtliche Zugriffe und Downloads umfassen. AV-Verträge mit Dienstleistern, Schutzmaßnahmen für grenzüberschreitende Datenübermittlungen und ein Breach-Playbook verringern die Risiken; weitere Abschnitte skizzieren praktische Verbesserungen.

Wissen, welche Kandidatendaten geschützt sind

Schutzmaßnahmen zum Schutz von Bewerberdaten

Im Recruiting ist ein klares Verständnis dessen, was als geschützte Kandidatendaten gilt, entscheidend, um Risiken im Zusammenhang mit Datenschutz, Arbeitsrecht und Antidiskriminierungsvorschriften zu begrenzen. Geschützte Daten umfassen typischerweise Identifikationsdaten (Name, Adresse, Ausweisnummern), Kontaktdaten, Lebenslauf-Inhalte, Interviewnotizen, Assessments, Gehaltsverläufe, sofern reguliert, sowie Metadaten wie IP-Adressen oder Gerätekennungen aus Bewerbungsportalen. Daten besonderer Kategorien (z. B. Gesundheitsdaten, Behinderung, Gewerkschaftszugehörigkeit, Religion, Ethnie) und Strafregisterdaten erfordern erhöhte Schutzmaßnahmen und dokumentierte Rechtsgrundlagen.

Organisationen sollten erfassen, wo solche Daten erstellt, gespeichert, geteilt und aufbewahrt werden – über ATS, E-Mail, Tabellenkalkulationen und Drittanbieter hinweg. Zugriffe sollten rollenbasiert erfolgen, protokolliert und regelmäßig überprüft werden. Einwilligungen von Kandidat:innen müssen, wo erforderlich, erfasst, granular und auditierbar aufbewahrt werden, insbesondere für Hintergrundprüfungen und Talentpools. Datenverschlüsselung sollte bei der Übertragung und im Ruhezustand angewendet werden, mit Kontrollen für das Schlüsselmanagement und Verfahren zur Reaktion auf Datenschutzverletzungen, die an die Meldepflichten angepasst sind.

Erfassen Sie nur die Kandidatendaten, die Sie benötigen

Ein einziges leitendes Prinzip sollte die Erhebung von Bewerberdaten steuern: Es dürfen nur diejenigen Kandidatendaten erhoben werden, die für einen definierten, dokumentierten Einstellungszweck erforderlich sind. Jedes Feld in einem Bewerbungsformular sollte einer Rechtsgrundlage und einem spezifischen Beurteilungskriterium zugeordnet sein (z. B. Kontaktdaten für die Terminplanung, Qualifikationen für die Eignung für die Stelle). Datenminimierung erfordert, „nice-to-have“-Angaben wie Familienstand, Fotos, Social-Media-Links oder Gesundheitsdaten zu vermeiden, es sei denn, es greift eine eng begrenzte gesetzliche Ausnahme und die Erforderlichkeit ist nachweisbar. Wo die Verarbeitung optional ist (Talentpools, zukünftige Rollen, Marketing), sollte die Einwilligung der Bewerber separat, entbündelt und dokumentiert eingeholt werden, ohne Nachteile bei Verweigerung. Recruiter sollten die Erhebung besonderer Kategorien personenbezogener Daten über Freitextfelder vermeiden und strukturierte Fragen so gestalten, dass nur arbeitsplatzrelevante Informationen abgefragt werden. Der Zugriff sollte rollenbasiert erfolgen, damit Interviewer nur das sehen, was sie benötigen. Automatisierte Screening-Kriterien sollten auf validierte, jobbezogene Faktoren beschränkt werden, um Compliance- und Diskriminierungsrisiken zu reduzieren.

Festlegen von Regeln zur Aufbewahrung und Löschung von Recruiting-Daten

Wie lange sollten Recruiting-Unterlagen aufbewahrt werden, bevor sie zu einem unnötigen Haftungsrisiko werden? Organisationen sollten dokumentierte Aufbewahrungsfristen festlegen, die am Zweck, an Rechtsgrundlagen und an Verjährungsfristen für Ansprüche ausgerichtet sind. Ohne Regeln sammeln sich alte Lebensläufe, Interviewnotizen und Testergebnisse an und erhöhen das Risiko bei Datenpannen und Audits. Klare Löschrichtlinien müssen Auslöser, Verantwortlichkeiten und technische Schritte zur Löschung oder Anonymisierung über ATS, E-Mail, gemeinsame Laufwerke und Backups hinweg festlegen, einschließlich Auftragsverarbeitern.

  • Aufbewahrungspläne nach Kategorie festlegen (Bewerbende, engere Auswahl, eingestellt, abgelehnt)
  • Lösch-Auslöser definieren (Ablehnungsmitteilung, Rückzug, Inaktivität, Ablauf der Einwilligung)
  • Ausnahmen dokumentieren (Litigation Holds/Sperrvermerke, gesetzliche Pflichten, Einwilligung für Talentpools)
  • Löschung/Anonymisierung automatisieren und Maßnahmen zur Auditierbarkeit protokollieren
  • Sicherstellen, dass Auftragsverarbeiter Löschungen ausführen und Bestätigungsberichte ausstellen

Regelmäßige Überprüfungen sollten testen, dass Datensätze tatsächlich entfernt werden und nicht nur ausgeblendet. Richtlinien sollten auch Anfragen von Bewerbenden adressieren und eine konsistente Handhabung über Jurisdiktionen und Tochtergesellschaften hinweg sicherstellen.

Verwenden Sie rollenbasierten Zugriff für Recruiting-Daten

Aufbewahrungs- und Löschpläne reduzieren das Volumen an Recruiting-Daten, doch das Risiko bleibt bestehen, wenn verbleibende Datensätze über das hinaus zugänglich sind, was jede Nutzerin bzw. jeder Nutzer benötigt. Rollenbasierter Zugriff sollte daher in ATS, E‑Mail-Integrationen, gemeinsamen Laufwerken und Reporting-Tools durchgesetzt werden, sodass Berechtigungen mit den Aufgabenbereichen und dem „Need-to-know“-Prinzip übereinstimmen. Zugriffsrollen sollten dokumentiert, genehmigt und regelmäßig überprüft werden, mit sofortiger Anpassung bei Rollenwechseln und beim Offboarding.

Datenklassifizierung unterstützt die korrekte Ausgestaltung von Berechtigungen: grundlegende Bewerberkennungen, Interviewnotizen, Referenzauskünfte und Daten besonderer Kategorien sollten nach Sensitivität getrennt und schrittweise strengeren Kontrollen zugewiesen werden. Hochrisikofelder (z. B. Gesundheitsdaten) sollten auf ausdrücklich autorisierte Nutzerinnen und Nutzer beschränkt und durch zusätzliche Schutzmaßnahmen wie MFA, Sitzungs-Timeouts und Audit-Logging abgesichert werden. Standardeinstellungen sollten dem Least-Privilege-Prinzip entsprechen und breiten „Recruiting-Team“-Zugriff vermeiden. Ausnahmen sollten zeitlich befristet, begründet und protokolliert werden, um Rechenschaftspflicht zu unterstützen und die Bereitschaft für Incident Response sicherzustellen.

Kandidatendaten sicher mit Hiring Managern teilen

Wenn Hiring Manager Einblick in Bewerber:innen benötigen, sollten Kandidat:innendaten über kontrollierte Workflows geteilt werden, statt per E‑Mail weitergeleitet oder in unverwaltete Dokumente kopiert zu werden. Der Zugriff sollte über das ATS oder ein sicheres Portal bereitgestellt werden, auf die konkrete Vakanz beschränkt und für die Dauer der Auswahlphase zeitlich befristet sein. Zum Schutz der Privatsphäre von Kandidat:innen sollten nur die für die Bewertung erforderlichen Daten angezeigt werden; sensible Felder sind zu maskieren, sofern kein dokumentierter Bedarf besteht. Datenverschlüsselung sollte bei der Übertragung und im Ruhezustand लागू sein, und die Authentifizierung sollte starke Passwörter und MFA durchsetzen. Auditierbarkeit ist wesentlich, um eine rechtmäßige Verarbeitung nachzuweisen und unregelmäßige Zugriffe untersuchen zu können.

  • Gewähren Sie Hiring Managern Zugriff nach dem Least-Privilege‑Prinzip, rollen- und aufgabenbezogen
  • Verwenden Sie sichere Links mit Ablaufdatum sowie Widerrufs-/Entzugsfunktionen
  • Maskieren Sie Identifikatoren, bis eine Shortlist nachvollziehbar gerechtfertigt ist
  • Protokollieren Sie Ansichten, Downloads und Kommentare in Audit-Logs
  • Bestätigen Sie mit jeder Zugriffsanfrage Rechtsgrundlage, Aufbewahrungsfristen und Zweck der Weitergabe

Vermeiden Sie Datenlecks in E-Mail, Notizen und Tabellenkalkulationen

E-Mail-Threads, persönliche Notizen und ad hoc erstellte Tabellenkalkulationen sind häufige Quellen unbefugter Offenlegung, da sie leicht weitergeleitet, kopiert und außerhalb genehmigter Systeme gespeichert werden können. Die Compliance erfordert sichere Praktiken für das Teilen per E-Mail (Verschlüsselung, verifizierte Empfänger und minimale Daten), strenge Zugriffsrechte für Interview- und Recruiter-Notizen sowie eine kontrollierte Aufbewahrung im Einklang mit der Richtlinie. Kandidaten-Tabellen sollten durch rollenbasierte Berechtigungen, Versionskontrolle und genehmigte sichere Speicherung abgesichert werden, um unkontrollierte Duplizierung und Zugriffe zu verhindern.

Sichere Praktiken für den E-Mail-Austausch

Wie schnell können Kandidatendaten außer Kontrolle geraten, sobald sie in eine unverschlüsselte Nachricht, eine geteilte Notiz oder eine exportierte Tabellenkalkulation eingefügt werden? Im Recruiting bleibt E-Mail der schnellste Leckagevektor: falsche Empfänger, Auto-Vervollständigungsfehler, weitergeleitete Threads und kompromittierte Postfächer. Compliance erfordert verschlüsselte Kommunikation für Anhänge und Nachrichtentexte, wo immer möglich, sowie strikte Handhabungsregeln für Links und Exporte. Ebenso kritisch ist Phishing-Prävention, da Angreifer HR-Postfächer gezielt ins Visier nehmen, um Lebensläufe, Ausweise und Interviewnotizen abzugreifen. Praktische Schutzmaßnahmen sollten standardisiert und auditiert werden:

  • Ende-zu-Ende- oder S/MIME-Verschlüsselung für Kandidateninhalte verwenden
  • Automatische Weiterleitung deaktivieren und externe Empfänger per Richtlinie einschränken
  • Adressen verifizieren; „Senden verzögern“ nutzen und Zwei-Personen-Prüfung für Massenmails
  • Dateien über ablaufende, zugriffsprotokollierte Links teilen, nicht als Anhang
  • Mitarbeitende schulen, Phishing zu erkennen und verdächtige Nachrichten umgehend zu melden

Kontrollnotizen Zugriffsrechte

Obwohl Verschlüsselung die Offenlegung während der Übertragung verringern kann, gehen Bewerberdaten häufig durch zu weit gefasste Zugriffsrechte auf interne Notizen, geteilte Dokumente und exportierte Tabellen verloren, die über ihren vorgesehenen Zweck hinaus bestehen bleiben. Organisationen sollten daher strikte Zugriffsrechte für jedes System definieren, in dem Recruiter Profile kommentieren, Interviewfeedback hinzufügen oder Anhänge speichern. Der Zugriff sollte dem Least-Privilege-Prinzip folgen, rollenbasiert sein und für temporäre Beteiligte wie externe Interviewer zeitlich befristet werden. Kontrollnotizen müssen auf arbeitsplatzrelevante Informationen beschränkt sein und sensible Kategorien vermeiden, sofern keine rechtmäßige Grundlage besteht und die Dokumentation aufbewahrt wird. Zentralisiertes Logging sollte erfassen, wer Notizen angesehen, bearbeitet oder geteilt hat, und Warnmeldungen sollten ungewöhnliche Zugriffsmuster kennzeichnen. Regelmäßige Zugriffsprüfungen, sofortige Deprovisionierung nach Rollenwechseln und klare Aufbewahrungsregeln verringern unbeabsichtigte Offenlegungen und belegen die Verantwortlichkeit unter der DSGVO.

Kandidaten-Tabellenkalkulationen sperren

Wenn Kandidatendaten in Tabellenkalkulationen für Sourcing-Listen, Interviewkoordination oder Reporting kopiert werden, werden unkontrollierte Verteilung und langlebige Dateikopien zu einem primären Leckvektor. Um die Privatsphäre von Kandidat:innen zu schützen, sollten Organisationen Tabellenkalkulationen als regulierte Aufzeichnungen behandeln, nicht als informelle Arbeitsdateien, und technische und prozedurale Schutzmaßnahmen anwenden, die dem Risiko angemessen sind, einschließlich Datenverschlüsselung.

  • Dateien nur in genehmigten, zugriffskontrollierten Repositories speichern; persönliche Laufwerke untersagen.
  • Teilen nach dem Least-Privilege-Prinzip erzwingen, öffentliche Links deaktivieren und MFA für den Zugriff verlangen.
  • Datenverschlüsselung im Ruhezustand und bei der Übertragung verwenden; Passwortschutz für Exporte vorschreiben.
  • Felder minimieren (keine IDs, Gesundheitsdaten oder Freitextnotizen); wo möglich pseudonymisieren.
  • Aufbewahrung und sichere Löschung definieren; Downloads, Versionierung und Protokolle für externes Teilen überwachen.

Diese Kontrollen reduzieren versehentliches Weiterleiten, unbefugte Einsichtnahme und unkontrollierte Wiederverwendung über Teams hinweg.

Bewertung von Recruiting-Anbietern hinsichtlich Sicherheit und Auftragsverarbeitungsverträgen (AVV)

Wo Anbieter-Tools mit Kandidatendaten in Berührung kommen, wird Due Diligence zu einer Kontrollanforderung statt zu einer bloßen Beschaffungsformalität. Recruiter und HR sollten jeden Anbieter nach verarbeiteten Datentypen, Hosting-Standort und Zugriffspfaden klassifizieren und anschließend die Anbietersicherheit anhand dokumentierter Kontrollen (z. B. ISO 27001/SOC 2), Verschlüsselungsstandards, rollenbasierter Zugriffskontrolle, Audit-Logging und Transparenz hinsichtlich Subprozessoren validieren. Datenschutzrichtlinien müssen daraufhin geprüft werden, ob sie eine rechtmäßige Grundlage unterstützen, Aufbewahrungsfristen und Zweckbindung einhalten sowie Mechanismen für Betroffenenanfragen vorsehen.

Vor jeder Übermittlung sollte ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden, der die Rollen als Verantwortlicher und Auftragsverarbeiter, Weisungen, Vertraulichkeitspflichten, Fristen für die Meldung von Sicherheitsvorfällen, Unterstützungspflichten sowie die sichere Löschung nach Vertragsende festlegt. Grenzüberschreitende Übermittlungen erfordern einen genehmigten Mechanismus (z. B. Standardvertragsklauseln, SCCs) sowie eine Bewertung der Risiken in Drittstaaten. Vertragliche Rechte auf Audits, Nachweisanforderungen und Änderungsbenachrichtigungsklauseln reduzieren blinde Flecken, wenn Tools Funktionen aktualisieren oder Subprozessoren hinzufügen. Eine regelmäßige Neubewertung sollte geplant und dokumentiert werden.

Haben Sie ein Playbook für Datenschutzverletzungen im Recruiting

Vendor-Due-Diligence und DPAs reduzieren die Exponierung, beseitigen jedoch nicht die Möglichkeit von unbefugtem Zugriff, versehentlicher Offenlegung oder Verlust von Kandidatendaten über ATS, E-Mail, Assessment-Plattformen und gemeinsame Ordner hinweg. Ein recruiting-spezifisches Breach-Playbook sollte Rollen, Zeitpläne und Entscheidungskriterien definieren, damit der Betrieb fortgesetzt werden kann, ohne das Candidate Engagement oder die Terminierung von Interviews zu beeinträchtigen, und gleichzeitig die GDPR-Meldepflichten und vertraglichen SLAs erfüllt werden.

  • Einen Incident-Intake-Kanal und eine Triage-Matrix (Schweregrad, Datentypen, betroffene Systeme) pflegen.
  • Verantwortliche benennen für Eindämmung, Forensik, rechtliche Bewertung und Kommunikation; Übergaben dokumentieren.
  • Vorlagen für DPA-/Behördenmeldungen, Kandidatenkommunikation und interne Warnmeldungen vorbereiten; Formulierungen vorab freigeben lassen.
  • Datenflüsse und Aufbewahrung abbilden, damit exponierte Datensätze schnell identifiziert, eingefroren, gelöscht oder korrigiert werden können.
  • Mit Tabletop-Übungen testen, die Phishing, fehlversendete E-Mails, falsch konfigurierte Links und Vendor-Ausfälle abdecken.

Beweissicherung, Zugriffsentzug und Least-Privilege-Resets sollten skriptbasiert sein. Nach dem Incident sind Root-Cause-Analysen, Korrekturmaßnahmen und ein Tracking von Lieferanten-Remediation verbindlich vorzusehen.

Related Posts