Ob falsch eingesetzte Fragebögen oder leichtfertige Uploads sensibler Unterlagen: Datenschutzverstöße im Rahmen von Bewerbungsverfahren sind keine Seltenheit – und sie haben Konsequenzen. Zwei aktuelle Fälle aus der Praxis der Datenschutzaufsicht zeigen deutlich, welche Fehler Unternehmen vermeiden müssen, wenn sie personenbezogene Daten im Recruiting verarbeiten.
📁 Fall 1: Bewerbung nach Virenscan öffentlich im Netz
Ein Unternehmen wollte es gut machen: Zur Sicherheit ließ ein IT-Mitarbeiter eingehende Bewerbungsunterlagen per PDF über kostenlose Online-Plattformen auf Viren prüfen. Die Bewerbungen wurden dabei jedoch so hochgeladen, dass sie öffentlich einsehbar waren – auffindbar über Google und andere Suchmaschinen.
Ein klarer Fall von Datenpanne: Personenbezogene Daten wie Name, Kontaktdaten und Lebenslauf waren ungewollt veröffentlicht. Das betroffene Unternehmen meldete den Vorfall, informierte die Bewerbenden und leitete Löschmaßnahmen auf Drittplattformen ein. Die Aufsichtsbehörde sprach eine Verwarnung aus – und wies darauf hin, dass auch bei kostenlosen Tools eine Datenschutzprüfung Pflicht ist.
📄 Fall 2: Alte Fragebögen mit unzulässigen Fragen im Umlauf
In einem weiteren Fall hatte ein Unternehmen versehentlich einen veralteten Bewerbungsfragebogen ausgegeben, der sensible Daten abfragte – darunter:
- Krankheiten und Krankheitsfolgen
- Schwerbehinderung
- Gewerkschaftszugehörigkeit
- Pfändungen
- Daten zu Lebenspartnern und Kindern
- Hobbys
Der Fragebogen war formell „freiwillig“, doch die Behörde stellte klar: Eine Einwilligung ist nur dann gültig, wenn sie freiwillig und informiert erfolgt. Im Bewerbungsverfahren ist das regelmäßig nicht gegeben, da Bewerbende Nachteile bei Verweigerung befürchten müssen.
Zudem war die Datenerhebung nicht auf eine rechtliche Grundlage nach Art. 6 oder Art. 9 DSGVO gestützt. Die Folge: Auch hier eine Verwarnung – verbunden mit dem Hinweis, dass Unternehmen verpflichtet sind, veraltete Formulare systematisch zu entfernen und Prozesse regelmäßig zu prüfen.
⚠️ Was Unternehmen jetzt tun müssen
Diese Beispiele zeigen, wie schnell Verstöße gegen Datenschutzrecht passieren können – selbst ohne böse Absicht. Unternehmen sollten deshalb sicherstellen, dass:
- Keine sensiblen Unterlagen über öffentliche Plattformen verarbeitet werden
- Fragebögen regelmäßig geprüft und veraltete Versionen entsorgt werden
- Nur solche Daten erhoben werden, die zur Entscheidung über eine Einstellung tatsächlich erforderlich sind
- Mitarbeitende im Recruiting und in der IT regelmäßig geschult werden
✅ Unser Fazit
Fehler bei der Datenverarbeitung im Bewerbungsprozess sind kein Bagatelldelikt. Sie können Bewerberrechte verletzen, Imageschäden verursachen und Sanktionen nach sich ziehen. Unternehmen brauchen ein aktives Datenschutzmanagement – gerade im Bereich HR.
Sie möchten prüfen, ob Ihre Recruitingprozesse DSGVO-konform sind oder benötigen Unterstützung bei der datenschutzgerechten Gestaltung von Bewerbungsformularen? Wir stehen Ihnen gern beratend zur Seite – praxisnah, kompetent und lösungsorientiert.