Compliance

GDPR fürs Hiring: Welche Kandidatinnen-Daten du behalten kannst, wie lange und was zu löschen

ClarityHire Team(Editorial)2 min read

Das Prinzip, das zählt

GDPRs Lawful-Basis-Framework stellt zwei Fragen zu jeder Kandidatinnen-Datei: warum hast du sie und wie lange brauchst du sie. Wenn du beides nicht klar beantworten kannst, solltest du sie nicht haben.

Die meisten Hiring-Daten-Compliance-Issues sind keine exotischen Edge-Cases. Sie sind Defaults.

Verteidigungsfähige Defaults

Lawful Basis

Für eine aktive Kandidatin: Legitimate-Interest oder Contract-Preparatory. Du brauchst keine Zustimmung zur Bewertung — sie hat sich beworben.

Für eine passive Kandidatin in einem Talent-Pipeline-Pool: Consent, mit klarem Opt-in und klarer Retention-Periode.

Misch nicht. Wenn du unter einer Basis sammelst und unter anderer nutzt, hast du ein Problem.

Retention

  • Aktive Kandidatinnen: für die Dauer des Hiring-Prozesses plus vernünftiges Defense-Window (6-12 Monate nach Rejection in EU).
  • Eingestellte Kandidatinnen: Übergang zu Employee-Data.
  • Talent-Pipeline: nur mit explizitem Consent.

Alles älter sollte auto-gelöscht werden.

Daten-Minimierung

Sammle, was die Rollen-Bewertung erfordert, nicht alles, was du wollen könntest. Foto auf Resume? Nicht nötig. Geburtsdatum? Nicht nötig. National-ID? Definitiv nicht.

Spezial-Kategorie-Daten

Rasse, Ethnie, Gesundheit, sexuelle Orientierung, Religion, politische Ansichten, Biometrie — Spezial-Kategorie. Strengere Anforderungen. Vermeide, außer du hast spezifischen Compliance-Use.

Praktische Compliance-Checkliste

  • Privacy-Notice auf der Application-Seite
  • Lawful Basis pro Daten-Kategorie dokumentiert
  • Retention-Period dokumentiert und automatisch durchgesetzt
  • DSAR-Prozess dokumentiert und getestet
  • Right-to-Erasure-Prozess dokumentiert und getestet
  • Sub-Processors gelistet mit DPAs
  • Cross-Border-Transfer-Mechanismus dokumentiert
  • Breach-Notification-Prozess mit benanntem Owner und 72-Stunden-SLA

Häufige Failure-Modes

  • Forever-Retention. Kandidatinnen-Daten von 2019 noch im ATS. Löschen oder rechtfertigen.
  • Unrestricted Access. Jede Recruiterin hat Zugriff auf alles. Wende Least-Privilege an.
  • Recordings ohne Retention. Wähle Periode (90 Tage üblich).
  • Vendor-Sprawl. Jeder neue Vendor fügt Sub-Processor hinzu. Auditiere jährlich.

Was ClarityHire tut

Konfigurierbare Retention pro Daten-Kategorie, automatische Löschung am Retention-Ende, DSAR-Export, Scoped-Role-Based-Access, Processor-Dokumentation. Compliance ist ein Prozess, kein Produkt — aber das Produkt sollte den Prozess handhabbar machen.

Dieser Post ist allgemeine Anleitung, keine Rechtsberatung. Für spezifische Jurisdiktion arbeite mit Counsel.

gdprcompliancekandidatinnen-datenprivacy

Verwandte Artikel

Recruiting-Guides

Bewerber-Daten in CSV und XLSX exportieren: Was gehört wohin

PII-Compliance, Use Cases von Angebots-Brief-Merges bis Berichterstattung, und die Excel-Fallen, die Ihre Daten korrumpieren. Ein praktischer Leitfaden zu Export-Format-Entscheidungen.

ClarityHire Team2026-05-215 min read
Compliance

So überprüfen Sie die Identität von Kandidaten in Remote-Interviews ohne Speicherung von Biometrie

Sie können bestätigen, dass die Person im Gespräch die Person ist, die Sie angestellt haben, ohne Gesichtserkennung, Sprachprofile oder gespeicherte biometrische Vorlagen. Das Muster, das GDPR, BIPA und bewährte Interviewing-Praktiken erfüllt.

ClarityHire Team2026-05-124 min read
Industrie-Hiring

Healthcare-Test-Validität & HIPAA-Compliance: Bewertungen bauen, die halten

Stelle sicher, dass deine Healthcare-Hiring-Bewertungen statistisch valide, rechtlich verteidigbar und voll HIPAA-compliant sind.

ClarityHire Team2026-05-093 min read