Datenschutz ist im Recruiting kein abstraktes Compliance-Thema, sondern eine praxisrelevante Anforderung: Wer Bewerberdaten verarbeitet, ohne die Voraussetzungen der DSGVO zu erfüllen, riskiert Bußgelder, aber vor allem den Verlust des Vertrauens der Kandidaten. Gleichzeitig schrecken viele Betriebe vor dem Thema zurück, weil es komplizierter wirkt als es ist. Dieser Ratgeber gibt eine klare Übersicht der rechtlichen Anforderungen — ohne Juristendeutsch, aber auch ohne verharmlosende Vereinfachung. Für technische Fragen zu Tracking und Kampagnenmessung empfiehlt sich ergänzend die Recruiting-Analyse.

Warum DSGVO im Social Recruiting anders funktioniert als im E-Commerce

Im E-Commerce geht es primär um Kaufdaten, Tracking und Retargeting. Im Recruiting kommen besondere Kategorien personenbezogener Daten hinzu: Ein Lebenslauf enthält Angaben zu Alter, Familienstand, Ausbildung, früherem Arbeitgeber — und manchmal zu Gesundheitszustand oder politischen Aktivitäten. Diese Daten sind schutzwürdiger als ein Warenkorb-Cookie.

Dazu kommt das strukturelle Machtungleichgewicht im Bewerbungskontext: Bewerber befinden sich in einer Situation, in der sie "etwas wollen" und deshalb Daten preisgeben, die sie unter anderen Umständen nicht herausgeben würden. Die DSGVO trägt dem Rechnung und verlangt, dass die Verarbeitung dieser Daten besonders transparent und zweckgebunden erfolgt. Wer Social Recruiting betreibt, muss diesen Kontext verstehen.

Rechtsgrundlage für die Verarbeitung von Bewerberdaten

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Für Bewerberdaten kommen in der Praxis zwei in Frage:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung): Die Verarbeitung ist zulässig, wenn sie für die Durchführung vorvertraglicher Maßnahmen erforderlich ist. Das deckt die Verarbeitung der Bewerbungsunterlagen während des aktiven Auswahlprozesses ab.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Für alles, was über den aktiven Auswahlprozess hinausgeht — zum Beispiel die Aufnahme in einen Talent Pool nach einer Ablehnung — braucht es eine separate, informierte und freiwillige Einwilligung.

Das hat eine wichtige praktische Konsequenz: Sie dürfen Bewerberdaten grundsätzlich verarbeiten, ohne vorab eine Einwilligung einzuholen — aber nur für den Zweck des laufenden Auswahlverfahrens und nur so lange, wie das Verfahren andauert. Für jeden weiteren Zweck braucht es eine neue Grundlage.

Meta Pixel und Tracking: Was erlaubt ist und was nicht

Der Meta Pixel ist ein JavaScript-Code, der Nutzeraktionen auf einer Website an Meta zurückmeldet — Seitenaufrufe, Formularabschlüsse, Klicks. Für Social-Recruiting-Kampagnen ist er unverzichtbar: Ohne Pixel kein Conversion-Tracking, keine Optimierung der Zielgruppe, keine belastbaren Daten zur Kampagneneffizienz.

Rechtlich ist der Pixel grundsätzlich erlaubt — aber an Bedingungen geknüpft:

  • Cookie-Consent ist Pflicht: Besucher der Recruiting-Landing-Page müssen aktiv in das Setzen von Tracking-Cookies einwilligen, bevor der Pixel feuert. Ein Pre-checked-Häkchen oder ein reines Hinweisbanner ohne Opt-out genügt nicht.
  • Informationspflicht: In der Datenschutzerklärung der Landing Page muss erklärt werden, dass Meta Pixel eingesetzt wird, welche Daten dabei übertragen werden und auf welcher Rechtsgrundlage (in der Regel berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO für Marketing-Tracking, bei Einwilligung nach lit. a).
  • Standard Contractual Clauses (SCC): Da Meta Daten in die USA überträgt, muss die Datenübermittlung über die EU-Standardvertragsklauseln abgesichert sein. Meta stellt diese als Teil seiner Nutzungsbedingungen bereit.

Praktisch bedeutet das: Wer eine Recruiting-Landing-Page aufbaut, braucht ein funktionsfähiges Cookie-Consent-Tool (z.B. Cookiebot, Usercentrics oder Borlabs Cookie), eine angepasste Datenschutzerklärung auf derselben Page und einen Meta Pixel, der erst nach Einwilligung geladen wird. Das ist einmalig mehr Aufwand — aber für jede seriöse Kampagne Standard.

DSGVO-konformes Social Recruiting von Anfang anWir bauen Recruiting-Landing-Pages mit korrektem Consent-Management, sauberem Pixel-Setup und DSGVO-konformem Formular. In der kostenlosen Recruiting-Analyse zeigen wir Ihnen, wo Ihr aktueller Prozess Risiken hat.
Kostenlose Recruiting-Analyse

Datenschutzerklärung auf der Karriere-Landing-Page

Jede Landing Page, auf der Bewerberdaten erhoben werden, braucht eine eigene Datenschutzerklärung oder einen eindeutigen Verweis darauf. Die Erklärung muss mindestens enthalten: wer für die Datenverarbeitung verantwortlich ist (vollständiger Name und Adresse des Unternehmens), zu welchem Zweck die Daten verarbeitet werden, auf welcher Rechtsgrundlage, wie lange sie gespeichert werden und welche Rechte der Bewerber hat (Auskunft, Berichtigung, Löschung, Beschwerde bei der Aufsichtsbehörde).

Ein Link im Footer der Landing Page auf eine allgemeine Datenschutzerklärung der Unternehmenswebsite ist in der Regel ausreichend — vorausgesetzt, diese Erklärung ist aktuell und enthält einen Abschnitt zur Verarbeitung von Bewerberdaten. Wenn die Landing Page bei einem anderen Anbieter gehostet wird als die Hauptwebsite, sollte die Datenschutzerklärung direkt auf dieser Domain erreichbar sein, nicht nur als externer Link. Ihr Link zu /datenschutz/ muss also auf jeder Recruiting-Seite abrufbar sein.

Einwilligung bei Bewerbungsformularen: Was muss rein?

Das Bewerbungsformular selbst ist der kritischste Datenpunkt. Folgende Elemente sind zwingend erforderlich:

  • Hinweistext vor dem Absenden: "Mit dem Absenden dieses Formulars erklären Sie sich damit einverstanden, dass Ihre Daten zum Zweck der Bewerbungsbearbeitung gespeichert werden." — oder sinngemäß, aber klar und verständlich.
  • Link zur Datenschutzerklärung: Im selben Hinweistext verlinkt, nicht versteckt im Footer.
  • Keine erzwungene Einwilligung zu Werbezwecken: Die Zustimmung zur Bewerbungsverarbeitung und eine eventuelle Zustimmung zur Aufnahme in einen Talent Pool müssen getrennte Felder sein — letztere darf keine Voraussetzung für die Bewerbung sein.

Ein vorangekreuztes Einwilligungsfeld ist nach DSGVO unwirksam. Die Einwilligung muss aktiv erfolgen — durch eine bewusste Handlung des Bewerbers.

Aufbewahrungsfristen für Bewerbungsunterlagen

Die maximale Speicherdauer ohne ausdrückliche Einwilligung beträgt sechs Monate nach Abschluss des Auswahlverfahrens. Diese Frist orientiert sich an der Klagefrist nach dem Allgemeinen Gleichbehandlungsgesetz (AGG), innerhalb derer Bewerber eine Diskriminierung geltend machen können. Ein Arbeitgeber, der die Unterlagen länger aufbewahrt, muss im Streitfall nachweisen können, warum das notwendig war.

Nach Ablauf der sechs Monate müssen Bewerbungsunterlagen vollständig gelöscht werden — nicht nur archiviert oder anonymisiert, sondern datenschutzgerecht vernichtet. Bei digital gespeicherten Unterlagen bedeutet das die Löschung aus allen Systemen, Backups eingeschlossen. Wer ein ATS nutzt, sollte prüfen, ob automatische Löschfristen konfigurierbar sind — dies ist ein Kernmerkmal DSGVO-konformer Bewerbermanagement-Software.

Datenweitergabe an Agenturen: Was im Auftrag geregelt sein muss

Wenn eine Social-Recruiting-Agentur im Rahmen ihrer Tätigkeit auf Bewerberdaten zugreift — sei es durch Zugang zum ATS, durch Einsicht in Bewerbungsformulare oder durch gemeinsame Kampagnenauswertung — handelt es sich um Auftragsverarbeitung im Sinne des Art. 28 DSGVO. In diesem Fall ist ein schriftlicher Auftragsverarbeitungsvertrag (AVV) gesetzlich vorgeschrieben.

Der AVV regelt mindestens: welche Daten zu welchem Zweck verarbeitet werden, welche technischen und organisatorischen Maßnahmen zum Schutz der Daten ergriffen werden, und dass die Agentur die Daten ausschließlich nach Weisung des Auftraggebers verarbeitet. Ohne AVV ist jede Weitergabe von Bewerberdaten an die Agentur ein Rechtsverstoß — unabhängig davon, was die Agentur mit den Daten tut.

Wer eine Agentur auswählt, sollte den AVV bereits vor Vertragsschluss anfordern. Eine seriöse Agentur hat diesen als Standarddokument parat. Mehr zur Agenturauswahl im Ratgeber Recruiting Agentur auswählen.

Praktische Checkliste: DSGVO-konformes Social Recruiting

Diese Checkliste deckt die wichtigsten Anforderungen ab und kann als Grundlage für eine interne Prüfung dienen:

  • Landing Page hat eigene Datenschutzerklärung mit Abschnitt zu Bewerberdaten
  • Cookie-Consent-Tool aktiv, Pixel wird erst nach Einwilligung geladen
  • Bewerbungsformular enthält Hinweistext und Link zur Datenschutzerklärung
  • Keine vorangekreuzten Einwilligungsfelder
  • Talent-Pool-Einwilligung getrennt von der Bewerbungseinwilligung
  • Aufbewahrungsfrist für abgelehnte Bewerber auf sechs Monate begrenzt
  • AVV mit jeder Agentur abgeschlossen, die auf Bewerberdaten zugreift
  • Auskunfts- und Löschprozess für Bewerber intern geregelt
  • Verarbeitungsverzeichnis nach Art. 30 DSGVO enthält Bewerberdaten-Eintrag

Was bei Verstößen droht und wie man Risiken minimiert

Die Bußgeldrahmen der DSGVO sind bekannt — bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes. In der Praxis sind Bußgelder gegen KMUs im Recruiting-Bereich bisher deutlich niedriger ausgefallen, aber sie existieren. Relevanter sind für viele Betriebe die Reputationsfolgen: Eine Datenschutzverletzung, die bekannt wird, schadet dem Arbeitgeberimage dauerhaft.

Das größte praktische Risiko liegt nicht im vorsätzlichen Verstoß, sondern in der Fahrlässigkeit: kein AVV mit der Agentur abgeschlossen, Bewerbungsunterlagen jahrelang im E-Mail-Archiv belassen, kein funktionierendes Consent-Tool auf der Landing Page. Diese Punkte lassen sich mit vergleichsweise wenig Aufwand beheben — und sollten es vor dem Start jeder Kampagne sein. Wer unsicher ist, wie der eigene Prozess aufgestellt ist, kann das in einer Recruiting-Analyse prüfen lassen.

Einen weiterführenden Blick auf Tracking und Kampagnenmessung bietet der Abschnitt zu den eingesetzten Recruiting-Plattformen und deren jeweiligen Datenschutzanforderungen.