Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.

Datenschutz Recruiting

Was müssen Personalvermittler beim Datenschutz im Recruiting beachten?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(3 Bewertungen, 5.00 von 5)

Das Wichtigste in Kürze

  • Wer als Recruiting-Agentur, Personalvermittler oder Headhunter mit sensiblen Bewerberdaten arbeitet, muss die Datenschutzgrundverordnung beachten.
  • Verstöße gegen die DSGVO können empfindliche Bußgelder nach sich ziehen und die eigene Reputation schädigen.
  • Mit rechtssicheren AGB, AV-Verträgen und Datenschutzerklärung sichern Sie Ihre Recruiting-Agentur ab.

Worum geht's?

Im Zuge des Fachkräftemangels ist die Unterstützung durch Recruiting-Agenturen für viele Unternehmen unverzichtbar, um geeignete Bewerber zu finden und offene Stelle zu besetzen. Da Recruiting-Agenturen, Personalvermittler und Headhunter tagtäglich mit den Daten unterschiedlichster Bewerber arbeiten, spielt das Thema Datenschutz im Recruiting eine große Rolle. Wie Sie als Recruiting-Agentur eine rechtssichere Personalvermittlung gestalten und was Sie beim Datenschutz von Bewerberdaten beachten müssen, erfahren Sie in diesem Artikel.

1. Datenschutz im Recruiting: Welche Pflichten haben Recruiting-Agenturen?

Bei den datenschutzrechtlichen Pflichten von Recruiting-Agenturen, Headhuntern und Personalvermittlern spielt die Datenschutzgrundverordnung (DSGVO) eine entscheidende Rolle. Diese regelt EU-weit, wie Unternehmen, Arbeitgeber und Behörden mit Daten von Kunden, Mitarbeitern und Bewerbern umgehen müssen. Dabei gilt sie für alle Unternehmen, die personenbezogene Daten erheben, verarbeiten und an Dritte übermitteln.

Die DSGVO gilt somit auch Recruiting-Agenturen – denn diese haben vermehrt mit Unternehmen, Arbeitsuchenden und Bewerbern zu tun und arbeiten mit sensiblen Daten wie Namen, Privatanschriften, E-Mail-Adressen, Lebensläufen, Anschreiben, Zeugnissen und Bewerberfotos.

Da viele Bewerbungsprozesse heute rein digital ablaufen, steigt das Risiko, dass sensible Daten abgefangen und von unbefugten Dritten eingesehen werden könnten. Um das zu verhindern, ist ein angemessener Datenschutz im E-Recruiting unerlässlich. So dürfen bei webbasierten Online-Bewerbungsverfahren beispielsweise nur Daten erfasst werden, die notwendig sind, um die Eignung des Bewerbers für die offene Stelle zu beurteilen.

Recruiting-Agenturen müssen beim Bewerbermanagement gemäß Dstenschutzgrundverordnung folgende Pflichten erfüllen:

Informationspflichten

Als Recruiting-Agentur sind Sie verpflichtet, personenbezogene Daten vor dem Zugriff unbeteiligter Dritter zu schützen. Außerdem trifft Sie gemäß DSGVO eine Informationspflicht: Sie müssen die Bewerber informieren, was mit ihren erhobenen Daten im Rahmen des Recruiting-Prozesses passiert.

Informieren Sie Interessenten und Bewerber insbesondere über:

  • Kontaktdaten der verantwortlichen Stelle
  • Zweck der Datenverarbeitung
  • Datenempfänger
  • Dauer der Datenspeicherung
  • Betroffenenrechte

Bewerber gelten gemäß § 26 Abs. 8 BDSG (Bundesdatenschutzgesetz) als Beschäftigte im Sinne des Datenschutzes. Das heißt, dass „personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies für die Entscheidung über die Begründung des Beschäftigungsverhältnisses […] erforderlich ist.“  

Sie brauchen als Recruiting-Agentur somit kein gesondertes Einverständnis des Bewerbers zur Datenweiterverarbeitung. Es ist aber erforderlich, den Bewerber über die Datenverarbeitung aufzuklären.

Eine ausdrückliche Einwilligung ist im Rahmen des E-Recruitings nur dann erforderlich, wenn der Bewerber in einen Bewerberpool aufgenommen werden soll.

Jetzt Recruiting-Agentur absichern

eRecht24 Premium

  • Sie können diese Information in die AGB Ihrer Recruiting-Agentur inkludieren.
  • Zusätzlich besteht die Option, einen entsprechenden Passus in der Datenschutzerklärung auf der Website aufzunehmen und in der Stellenanzeige einen Link zur Erklärung zu setzen.
  • Als eRecht24-Premium-Mitglied erstellen Sie mit dem Datenschutz-Generator im Projekt Manager kostenlos eine DSGVO-konforme Datenschutzerklärung.
Jetzt Recruiting-Agentur absichern

Löschpflichten

Bewerbende haben ein Recht auf Löschung ihrer Bewerberdaten. Als Recruiting-Agentur trifft Sie im Umgang mit Bewerberdaten eine Löschpflicht: Sie dürfen die Bewerbungsunterlagen hinsichtlich des Datenschutzes nur solange speichern, wie es für den Verarbeitungszweck erforderlich ist. Wird die offene Stelle nicht durch den Bewerber besetzt, entfällt der legitime Zweck der Datenspeicherung.

Eine unbegrenzte Aufbewahrung der Bewerbungsunterlagen ist gemäß Datenschutzgrundverordnung ohne ausdrückliche Einwilligung nicht möglich. Gibt es keine entsprechende Einwilligung des Bewerbers oder eine gesetzliche Vorschrift, die die weitere Speicherung erforderlich macht, sind Sie verpflichtet, die Daten und Bewerbungsunterlagen nach der Entscheidung für oder gegen den Bewerber unverzüglich zu löschen – und zwar aus allen Postfächern.

Dokumentationspflichten

Führen Sie eine Recruiting-Agentur oder sind als Headhunter tätig, trifft Sie eine Dokumentationspflicht: Als Auftragsverarbeiter sind Sie verpflichtet, ein Verarbeitungsverzeichnis zu führen, um den Datenschutz im Recruiting sicherzustellen. In diesem Verarbeitungsverzeichnis müssen Sie sämtliche Verarbeitungsvorgänge personenbezogener Daten dokumentieren.

Dazu gehören laut Art. 30 Abs. 2 DSGVO folgende Inhalte:

  • Name und Kontaktdaten des Verantwortlichen (ggf. Angaben zum Vertreter, Datenschutzbeauftragten)
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen sowie personenbezogener Daten
  • Vorgesehene Löschfristen der jeweiligen Datenkategorien
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM) zum Schutz der Bewerberdaten

Recruiting-Datenschutz durch IT-Sicherheit

Für ein rechtssicheres E-Recruiting müssen Bewerber immer die Möglichkeit haben, ihre Bewerbungsunterlagen verschlüsselt per Mail oder über E-Recruiting-Plattformen hochzuladen. Sobald Sie die eingereichten Bewerbungsunterlagen an das personalsuchende Unternehmen weiterleiten, müssen Sie auch hier eine verschlüsselte Datenübertragung nach angemessenen IT-Sicherheitsstandards sicherstellen.

Um die Datensicherheit im Recruiting jederzeit zu gewährleisten, sollte die eigene IT-Infrastruktur regelmäßig geprüft werden.

2. Wie lässt sich der Datenschutz im Recruiting korrekt umsetzen?

Welche Anforderungen an den Datenschutz im Recruiting gelten, hängt nicht nur von den gesetzlichen Vorschriften der Datenschutz-Grundverordnung ab, sondern auch vom konkreten Geschäftsmodell, das die Recruiting-Agentur verfolgt.

Hier lassen sich grob drei verschiedene Arten unterscheiden:

  • Recruiting über kundeneigene Social-Media-Kanäle und Landing-Pages
  • Personalvermittlung
  • Social Recruiting

Abhängig von der Bewerbergewinnung und der Art des Recruitings sollten Agenturen und Personalvermittlungen folgende Punkte beim Datenschutz beachten:

Datenschutz beim Recruiting über kundeneigene Social Media Seiten und Landing-Pages

Eine erste Möglichkeit, wie Agenturen die Personalsuche für ein Unternehmen betreiben können, ist das Recruiting über die Social-Media-Kanäle und die Website des personalsuchenden Unternehmens. Die Recruiting-Agentur erstellt dazu z. B. eine Unterseite auf der Website des Unternehmens, auf der sich Kandidaten auf die offene Stelle bewerben und Unterlagen wie Lebenslauf und Anschreiben hochladen können.

Da die personenbezogenen Daten über kundeneigene Kanäle (Website oder Social Media) erhoben werden, ist das suchende Unternehmen für den Umgang mit und den Datenschutz der Bewerbungsunterlagen verantwortlich.

Für Sie als Agentur gilt bezüglich des Datenschutzes im Recruiting:

  • Sie benötigen AGB, in denen u. a. ein Haftungsausschluss Ihrer Agentur geregelt ist.
  • Da Sie personenbezogene Daten verarbeiten, liegt eine Auftragsverarbeitung Als Auftragsverarbeiter müssen Sie daher mit dem personalsuchenden Unternehmen einen AV-Vertrag abschließen.
  • Sie können im Rahmen Ihrer Dienstleistung dem Unternehmen eine Datenschutzerklärung zur Verfügung stellen, die die Bewerber darüber aufgeklärt, was mit ihren Daten passiert.

Datenschutz bei der Personalvermittlung (PV)

Eine andere Möglichkeit, geeignetes Personal für ein Unternehmen zu rekrutieren, ist die “klassische” Personalvermittlung: Bewerber können auf der Website der Agentur ihre Daten eingeben und Unterlagen hochladen. Die Recruiting-Agentur sucht dann nach geeigneten Unternehmen. Passen Bewerberprofil und ausgeschriebene Stelle zueinander, sendet die Agentur die Informationen des Bewerbers an das Unternehmen, das dann selbst Kontakt zum Bewerber aufnehmen kann.

Für die Suche und Übermittlung der Bewerberdaten erhält die Agentur eine Provision. Anschließend überwacht sie die Abläufe und unterstützt sowohl Bewerber als auch Unternehmen im laufenden Recruiting-Prozess.

Hier gilt hinsichtlich des Recruiting-Datenschutzes Folgendes:

  • Ihre Agentur ist zunächst selbst für den Datenschutz der Bewerberdaten verantwortlich.
  • Mit der Datenübermittlung an das personalsuchende Unternehmen sind Sie als Recruiting-Agentur nicht mehr dafür haftbar, was dieses mit den Daten macht.
  • Sie benötigen als Agentur sowohl AGB und eine Datenschutzerklärung gegenüber den Bewerbern als auch AGB gegenüber dem suchenden Unternehmen.
  • Neben dem Haftungsausschluss sollten die AGB unter anderem festhalten, dass mit der Übermittlung der Bewerberdaten eine Provisionspflicht ausgelöst wird.

Datenschutz beim Social Recruiting

Eine dritte Möglichkeit des E-Recruitings ist das Social Recruiting. Personalvermittler oder Headhunter begeben sich selbst aktiv auf die Suche nach passenden Personen – meist in Jobnetzwerken wie LinkedIn und Xing.

Wann und wie eine Ansprache in Jobnetzwerken wie Xing und LinkedIn zulässig ist, ist datenschutzrechtlich nicht geklärt. Hier sollten Sie daher vorsichtig sein. Das Datenschutzrecht lässt eine Kontaktaufnahme u. a. bei berechtigtem Interesse zu.

Ob ein berechtigtes Interesse gegeben ist, hängt vom Einzelfall ab. Es kann z. B. vorliegen, wenn eine Person in ihrem Status ausdrücklich schreibt, dass sie auf Jobsuche ist. Um auf Nummer sicherzugehen, sollten Sie sich als Headhunter bei den potenziellen Kandidaten eine Einwilligung einholen, ob Sie die Daten an das personalsuchende Unternehmen weiterleiten dürfen.

Ausführliche Informationen zum Thema Datenschutz in sozialen Netzwerken haben wir Ihnen in unserem Beitrag „So nutzen Sie Social Media Netzwerke rechtssicher im Jahr 2023“ zusammengestellt.

3. Was droht bei Verstößen gegen die DSGVO?

Gemäß DSGVO ist die Speicherung, Verarbeitung und Übermittlung von personenbezogenen Daten ohne Kenntnis und – sofern erforderlich – ohne Zustimmung der betroffenen Personen nicht zulässig.

Halten sich Recruiting-Agenturen, Personalvermittler und Headhunter nicht an die Vorschriften, müssen sie mit Konsequenzen rechnen: Bei einem Datenschutzverstoß drohen DSGVO-Bußgelder in Höhe von bis zu vier Prozent des weltweiten Jahresumsatzes bzw. bis zu 20 Millionen Euro.

Außerdem kann ein Rechtsstreit aufgrund eines Datenschutzverstoßes zu einem Reputationsverlust führen – und das wiederum erschwert erfolgreiches Recruiting.

4. Datenschutz im Recruiting: So führen Sie eine rechtssichere Personalvermittlung

Datenschutz im Recruiting ist ein komplexes Thema, das nicht immer leicht zu durchdringen ist. Zugleich ist es für den Geschäftserfolg von immenser Bedeutung, die Anforderungen der DSGVO korrekt umzusetzen und die Anforderungen an den Datenschutz bei Bewerbungen zu erfüllen. Wer gegen die Datenschutzbestimmungen verstößt, muss mit hohen Bußgeldern rechnen.

Als Recruiting-Agentur arbeiten Sie mit sensiblen Daten von Kunden und Bewerbern. Diese gilt es durch geeignete technische und organisatorische Maßnahmen (TOMs) zu schützen. Diese sollten im Sinne der Auskunftspflicht und Betroffenenrechte stets sorgfältig in einem Verarbeitungsverzeichnis dokumentiert werden.

Um Ihre Recruiting-Agentur DSGVO-konform zu führen, steht das Informieren der Kandidaten an erster Stelle. Zwar müssen diese nicht gesondert in die Verarbeitung ihrer Daten einwilligen – dennoch ist es wichtig, dass sie zumindest auf der Website Ihres Unternehmens nachlesen können, was mit den Daten passiert, wie lange die Aufbewahrung der Bewerbungsunterlagen erfolgt und und wann diese wieder gelöscht werden.

Um eine Haftung auszuschließen und die Risiken eines DSGVO-Verstoßes zu minimieren, sollten Sie sowohl mit den personalsuchenden Unternehmen als auch mit Kandidaten und Bewerbern einen Auftragsverarbeitungsvertrag (AV-Vertrag) abschließen. Statt den AV-Vertrag als separates Dokument auszugestalten, können Sie in alternativ in Ihre AGB einbinden. Der AV-Vertrag wird mit dem Akzeptieren der AGB automatisch Teil des Vertrages zwischen Ihnen und Ihrem Vertragspartner. Eine gesonderte Zustellung ist nicht notwendig.

Daneben benötigen Sie eine DSGVO-konforme Datenschutzerklärung, in der Sie den Bewerbern genau erklären, was mit ihren Daten passiert, wie lange sie diese speichern und in welchem Verhältnis Ihre Recruiting-Agentur zu dem potenziellen Arbeitgeber steht. Standarddatenschutzerklärungen reichen nicht aus.

ZUR KANZLEI

KANZLEI SIEBERT LEXOW LANG

  • Rechtssichere Verträge und Vorlagen sind die Grundlage, um Haftungsfallen zu umschiffen.
  • Da sich die Unternehmensprozesse verschiedener Personalvermittlungen unterscheiden, ist es wichtig, dass Rechtstexte wie AV-Vertrag, AGB und Datenschutzerklärung zu Ihrem Unternehmen passen.
  • Bei der Erstellung maßgeschneiderter Lösungen unterstützen Sie die Datenschutz-Anwälte der Kanzlei Siebert Lexow Lang gern.
ZUR KANZLEI

5. FAQ: Häufig gestellte Fragen


Benötigen Recruiting-Agenturen eine Einwilligung zur Datenverarbeitung?

Wenn sich ein Bewerber auf eine ausgeschriebene Stelle bewirbt, ist keine gesonderte Einwilligung zur Datenweiterverarbeitung erforderlich. Es ist für den Datenschutz der Bewerberdaten ausreichend, wenn der Bewerber über die Datenverarbeitung informiert wird. Eine Einwilligung ist aber erforderlich, wenn der Bewerber in einen Bewerberpool aufgenommen werden soll.

Wie schütze ich als Personalvermittler die Daten meiner Kunden?

Als Personalvermittler arbeiten Sie mit sensiblen Daten von Kunden und Bewerbern. Um diese zu schützen, müssen Sie hinsichtlich des Datenschutzes von Bewerbungsunterlagen geeignete technische und organisatorische Maßnahmen (TOMs) einleiten.

Warum ist ein AV-Vertrag für mich wichtig?

Sofern Sie personenbezogene Daten im Auftrag eines Unternehmens verarbeiten, sind Sie gesetzlich zum Abschluss eines AV-Vertrags verpflichtet. Haben Sie keinen, drohen Bußgelder. Als Recruiting-Agentur brauchen Sie insbesondere dann einen AV-Vertrag, wenn Sie Bewerbungen für einen spezifischen Kunden verarbeiten (z. B. weil Sie eine Landing-Page bauen, auf denen sich Bewerber nur bei diesem einen Unternehmen bewerben können).


 

 

eRecht24 Praxis Guide
Rechtssichere Webseiten:
Alles, was Sie wissen müssen
In unserem Guide erklären wir Ihnen in 12 Schritten, wie Sie eine Website rechtssicher erstellen - von der Wahl des Domainnamens über Impressum und Datenschutzerklärung bis hin zu E-Mail- und Newslettermarketing.
Guide jetzt kostenfrei herunterladen!

Name: Bitte Name angeben.

E-Mail-Adresse: Bitte korrekte E-Mail-Adresse angeben.

Ja, bitte senden Sie mir den kostenfreien Guide zu. Ich bin damit einverstanden, dass eRecht24 mir regelmäßig aktuelle Rechts-Updates, Praxistipps und Angebote aus den Bereichen Datenschutz und Internetrecht per E-Mail zusendet. Ich kann jederzeit form- und kostenlos widersprechen. Näheres entnehmen Sie unserer Datenschutzerklärung.
Vielen Dank!
Wir nehmen es mit dem Schutz Ihrer Daten genau und halten uns an die rechtlichen Vorgaben des Double-Opt-In. Bitte bestätigen Sie zuerst Ihre E-Mail-Adresse. Dann stellen wir Ihnen den Guide kostenfrei zur Verfügung.
Tipp: In unseren Premium-Paketen stehen Ihnen mehr als 10 praktische Guides mit Handlungsempfehlungen und passenden Generatoren und Tools zu verschiedenen Themen (Datenschutz, Urheberrecht, Marketing & Co.) kostenfrei zur Verfügung. Die Premium Praxis Guides werden sie regelmäßig aktualisiert, damit Sie stets auf dem neuesten Stand sind.
Sophie Suske
Sophie Suske

Sophie Suske ist freie Texterin und unterstützt seit 2022 das eRecht24 Redaktionsteam. Komplexe Sachverhalte verständlich und für jeden zugänglich aufzubereiten, ist ihre Leidenschaft. Denn nicht erst seit ihrem Masterstudium der Kommunikationswissenschaften weiß Sophie Suske um die Bedeutung von klarer und zielführender Kommunikation.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.


eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details