DSB NRW LogoDatenschutzbeauftragterNRWTÜV-zertifiziert · Externer DSB
Ratgeber · Personalvermittlung & Zeitarbeit

Datenschutz in der Personalvermittlung — der ausführliche Praxisleitfaden

Kaum eine Branche hat mehr personenbezogene Daten in Bewegung als die Personaldienstleistung. Vom ersten Lebenslauf über das Active Sourcing auf LinkedIn bis hin zu Lohn- und Gesundheitsdaten in der Zeitarbeit: Datenschutz ist hier kein Compliance-Nebenschauplatz, sondern Kern des Geschäftsmodells. Dieser Leitfaden zeigt, worauf Geschäftsführer, Recruiter und Disponenten in der Praxis achten müssen.

Personaldienstleister sind, ob sie wollen oder nicht, datenintensive Betriebe. In keinem anderen Geschäftsmodell laufen so viele besonders schutzwürdige Informationen über fremde Menschen so schnell und so weit durch die eigenen Systeme: Lebensläufe, Zeugnisse, Gehaltsvorstellungen, Gesundheitsangaben, Bewertungen aus Vorstellungsgesprächen, in der Zeitarbeit zusätzlich Lohn- und Einsatzdaten. Wer hier den Datenschutz unterschätzt, riskiert nicht nur Bußgelder, sondern auch das Vertrauen von Bewerbern und Kundenunternehmen — und damit das eigene Geschäftsmodell.

Dieser Ratgeber zeigt, worauf es in der Praxis ankommt: für die klassische Personalvermittlung, für Headhunter und Executive Search, für Arbeitnehmerüberlassung (Zeitarbeit) und für alle Mischformen dazwischen.

1. Wer ist hier eigentlich Verantwortlicher?

Die wohl wichtigste — und am häufigsten falsch beantwortete — Frage zu Beginn jedes Mandats lautet: In welcher datenschutzrechtlichen Rolle agiert die Personalvermittlung gegenüber dem Bewerber und gegenüber dem Kundenunternehmen?

  • Klassische Vermittlung / Headhunting: Sowohl die Personalvermittlung als auch das Kundenunternehmen sind in der Regel eigenständige Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Es liegt keine Auftragsverarbeitung vor. Stattdessen werden Daten von einem Verantwortlichen an einen anderen übermittelt — das braucht eine eigene Rechtsgrundlage und klare Informationspflichten.
  • Arbeitnehmerüberlassung (Zeitarbeit nach AÜG): Der Verleiher (die Zeitarbeitsfirma) ist Arbeitgeber und damit Verantwortlicher für die Stammdaten. Gegenüber dem Entleiher (Kundenunternehmen) wird typischerweise nur das übermittelt, was für den konkreten Einsatz erforderlich ist. Auch hier liegt regelmäßig keine klassische Auftragsverarbeitung vor.
  • RPO / On-Site-Recruiting im Auftrag eines Konzerns: Hier kann eine echte Auftragsverarbeitung nach Art. 28 DSGVO vorliegen — dann braucht es einen AVV. In gemeinsamen Recruiting-Projekten kommt auch eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO in Betracht.

Falsche Einordnungen sind in der Branche extrem häufig — und sie ziehen alles Nachgelagerte in den falschen Rahmen: AVV-Texte, Informationspflichten, Löschkonzepte. Wir prüfen das daher immer als ersten Schritt.

2. Rechtsgrundlagen für die Bewerberdatenverarbeitung

Im Bewerbungskontext sind drei Rechtsgrundlagen relevant:

  • Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung): Trägt das initiale Bewerbungsverfahren — also alles, was zur Prüfung eines Vermittlungs- oder Anstellungsangebots nötig ist.
  • § 26 BDSG (Beschäftigtendatenschutz): Greift, sobald ein Beschäftigungsverhältnis im Raum steht, insbesondere bei Zeitarbeit, sobald ein Arbeitsvertrag mit dem Verleiher zustande kommt.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Für vor- und nachgelagerte Verarbeitungen wie das Active Sourcing oder die Aufbewahrung zur Abwehr von Ansprüchen aus dem AGG.
  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Erforderlich für die Aufnahme in einen Talent-Pool über die konkrete Stelle hinaus oder für die Weitergabe an mehrere Kundenunternehmen, die der Bewerber namentlich nicht kennt.

Bei Gesundheitsangaben (z. B. Schwerbehinderung, Eignungsuntersuchungen in der Zeitarbeit) sind zusätzlich Art. 9 DSGVO und § 26 Abs. 3 BDSG einschlägig.

3. Bewerberdaten: was, wie lange, wann löschen?

Die häufigsten Bußgelder in dieser Branche entstehen nicht durch Hackerangriffe, sondern durch zu lange Speicherung von Bewerberdaten. Die Faustregel:

  • Bewerber wird abgelehnt: Daten dürfen nach herrschender Auffassung bis zu 6 Monate nach Abschluss des Bewerbungsverfahrens aufbewahrt werden — als Beweisreserve für mögliche AGG-Klagen (Verjährungsfrist § 15 Abs. 4 AGG = 2 Monate, plus Klagefrist).
  • Bewerber wird vermittelt: Übergang in das normale Personal- bzw. Vertragsregime. Daten bleiben, soweit für die laufende Vermittlung oder den Arbeitsvertrag erforderlich.
  • Talent-Pool: Nur mit ausdrücklicher Einwilligung und mit Widerrufsmöglichkeit. Empfohlen: turnusmäßige Überprüfung (z. B. alle 12 Monate) und automatische Löschung nach z. B. 24 Monaten ohne Aktivität.
  • Initiativbewerbungen: Wie eine reguläre Ablehnung behandeln, wenn keine passende Stelle existiert — also auch hier maximal 6 Monate ohne Einwilligung.

In der Praxis bedeutet das: Das Bewerbermanagement-System (ATS) muss Löschroutinen technisch unterstützen. Wer noch mit Excel-Listen und E-Mail-Postfächern arbeitet, hat hier ein strukturelles Problem.

4. Active Sourcing: die unterschätzte Pflicht aus Art. 14 DSGVO

Wenn ein Researcher ein Profil auf LinkedIn, XING oder einer anderen Plattform identifiziert und die Person direkt anspricht oder sogar interne Notizen anlegt, erhebt die Vermittlung personenbezogene Daten — ohne dass die betroffene Person es weiß.

Greift Art. 14 DSGVO: Informationspflicht bei Erhebung aus anderer Quelle als direkt beim Betroffenen. Diese Information muss spätestens bei der ersten Kommunikation oder innerhalb eines Monats erfolgen. In der Praxis erfüllt man das am elegantesten direkt in der Erstnachricht (oder in einer verlinkten Sourcing-Datenschutzinformation).

Was viele übersehen: Auch das interne Anlegen eines Datensatzes im CRM/ATS — selbst wenn die Person nie kontaktiert wird — ist datenschutzrechtlich eine Verarbeitung. Es braucht eine Rechtsgrundlage (i. d. R. berechtigtes Interesse) und es greifen Auskunfts- und Löschrechte.

5. Übermittlung an Kundenunternehmen — der heikelste Moment

Sobald ein Lebenslauf oder ein anonymisiertes Profil das Haus verlässt, ist eine datenschutzrechtliche Übermittlung gegeben. Drei Regeln:

  1. Nur mit Wissen oder Einwilligung des Bewerbers. Das ist Standard im Vermittlungsvertrag mit dem Bewerber — sollte aber dokumentiert sein, nicht nur „mündlich besprochen".
  2. Nur so viel, wie nötig. Gehaltsangaben, Familienstand, Foto, Geburtsdatum: oft nicht für die erste Vorstellung erforderlich. Datenschutz und Anti-Diskriminierung gehen hier Hand in Hand.
  3. Auf einem geeigneten Kanal. Unverschlüsselte E-Mail mit Lebenslauf-Anhang an eine Kundenadresse ist nicht Stand der Technik. Verschlüsselte Portale, passwortgeschützte Anhänge oder gesicherte Plattformen sind heute der Mindeststandard.

6. Arbeitnehmerüberlassung (AÜG): doppelte Komplexität

In der Zeitarbeit ist die Personalvermittlung Arbeitgeber des überlassenen Mitarbeiters. Damit kommen alle Pflichten des Beschäftigtendatenschutzes (§ 26 BDSG) hinzu — Personalakte, Lohnabrechnung, Sozialversicherung, gegebenenfalls Eignungsuntersuchungen. Gegenüber dem Entleiher dürfen nur einsatzbezogene Daten übermittelt werden (Qualifikation, Einsatzzeiten, Verfügbarkeit), nicht aber etwa Krankheitsdiagnosen oder vollständige Personalakten. Das wird in der Praxis durch eine klare Trennung der Systeme und eingeschränkte Schnittstellen sichergestellt.

7. ATS, CRM, KI-Matching: Technik mit Wirkung

Moderne Personaldienstleister arbeiten heute mit Bewerbermanagement-Systemen, CRMs und zunehmend mit KI-gestütztem Matching. Datenschutzrechtlich relevant sind dabei:

  • Auftragsverarbeitungsverträge (AVV) mit allen Anbietern, die Bewerber- oder Mitarbeiterdaten verarbeiten — inklusive Sub-Verarbeitern und ggf. Drittlandtransfer (US-Anbieter: EU-US Data Privacy Framework prüfen).
  • Technische und organisatorische Maßnahmen (TOM) — wer hat Zugriff, wie ist die Authentifizierung, wie werden Daten verschlüsselt, wie wird gelöscht.
  • Profiling und automatisierte Entscheidungen (Art. 22 DSGVO): Ein KI-Score, der Bewerber rankt oder vorsortiert, ist Profiling. Eine automatisierte Entscheidung mit rechtlicher Wirkung (z. B. automatische Ablehnung ohne menschliche Prüfung) ist grundsätzlich verboten und nur in engen Ausnahmen zulässig. In der Praxis bedeutet das: Es muss eine echte menschliche Letztentscheidung geben — und das muss dokumentiert sein.
  • Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO): Bei systematischem Profiling oder umfangreichem Einsatz von KI in der Vorauswahl ist eine DSFA praktisch verpflichtend.

8. Background-Checks, Hintergrundabfragen, Referenzen

Was viele für Standard halten, ist datenschutzrechtlich enge Materie:

  • Referenzen einholen: Nur mit ausdrücklicher Einwilligung des Bewerbers, idealerweise mit konkreter Nennung der Ansprechpartner.
  • Führungszeugnis: Nur, wenn für die Position erforderlich (z. B. Tätigkeit mit Kindern, Finanzbuchhaltung). Ein pauschaler Standard-Check ist nicht zulässig.
  • SCHUFA und Bonitätsabfragen: In aller Regel nicht zulässig im Vorfeld eines normalen Arbeitsverhältnisses.
  • Google-Recherche und Social-Media-Check: Öffentlich zugängliche Berufsprofile (LinkedIn, XING) sind grundsätzlich zulässig auszuwerten; private Profile (privater Instagram-Account, Facebook) sind tabu.

9. Informationspflichten — bitte freundlich und auffindbar

Bewerber müssen wissen, was mit ihren Daten passiert. Eine gute Datenschutzinformation für Bewerber gehört:

  • in das Bewerberportal (vor dem Absenden des Formulars),
  • in die Eingangsbestätigung per E-Mail,
  • in jede Sourcing-Erstansprache (für die Art-14-Fälle),
  • und in alle Vermittlungs- und Überlassungsverträge.

Sie deckt mindestens ab: Verantwortlicher, Kontakt DSB, Zwecke und Rechtsgrundlagen, Empfänger (auch Kundenunternehmen als Kategorie), Speicherdauern (mit konkreten Fristen — keine Floskeln), Rechte der Betroffenen, Beschwerderecht bei der Aufsichtsbehörde (LDI NRW).

10. Datenpannen — wenn der Lebenslauf an die falsche Adresse geht

Die häufigste meldepflichtige Datenpanne in der Branche ist die schlichte Fehl-E-Mail: Lebenslauf an die falsche Person, Bewerberliste im offenen CC. Hier gilt Art. 33 DSGVO: Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden nach Bekanntwerden, wenn ein Risiko für die Betroffenen besteht. Bei hohem Risiko zusätzlich Benachrichtigung der Betroffenen (Art. 34). Ein klar definierter Datenpannen-Prozess, der von jedem Recruiter und Disponenten verstanden wird, ist die wichtigste Versicherung gegen folgenschwere Bußgelder.

11. Braucht eine Personalvermittlung einen Datenschutzbeauftragten?

Sehr oft ja. Drei mögliche Auslöser:

  • § 38 BDSG: Bei mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. In Vermittlungen ist das schnell erreicht — fast alle Recruiter und Disponenten zählen mit.
  • Art. 37 Abs. 1 lit. b DSGVO: Wenn die Kerntätigkeit in einer umfangreichen regelmäßigen und systematischen Überwachung von Personen besteht. Aktives Matching und systematisches Sourcing kann das auslösen.
  • Art. 37 Abs. 1 lit. c DSGVO: Bei umfangreicher Verarbeitung besonderer Datenkategorien — relevant z. B. in der Personalvermittlung im Gesundheitswesen oder bei Eignungsuntersuchungen in der Zeitarbeit.

(Hinweis: Die nationale 20-Personen-Schwelle könnte künftig wegfallen; die DSGVO-Pflichten bleiben unabhängig davon bestehen.)

Für Geschäftsführer ist die ehrliche Frage selten "müssen wir?", sondern "wer hat im Tagesgeschäft den Überblick — und im Ernstfall den Kopf hin?". Genau dafür gibt es den externen DSB.

12. Was Sie konkret tun sollten — in dieser Reihenfolge

  1. Rollen klären: Verantwortlicher oder Auftragsverarbeiter, je Kunde und Geschäftsmodell.
  2. Bewerber-Datenschutzinformation überarbeiten — kurz, konkret, mit echten Speicherfristen.
  3. Löschroutinen im ATS scharf stellen (6-Monats-Regel, Talent-Pool-Widerruf, Initiativbewerbungen).
  4. Sourcing-Prozess auf Art. 14 anpassen — Standard-Texte für Erstansprache und CRM-Eintrag.
  5. AVVs mit ATS-, CRM-, Cloud- und Payroll-Anbietern prüfen — inklusive Drittlandtransfer.
  6. Übermittlungskanäle zu Kundenunternehmen absichern — keine unverschlüsselten E-Mail-Anhänge mehr.
  7. Datenpannen-Prozess festlegen und Recruiter darauf schulen.
  8. KI- und Matching-Einsatz prüfen, ggf. DSFA durchführen.
  9. Bestellung eines (externen) Datenschutzbeauftragten, wenn die Schwellen erreicht sind — oder als bewusste Risikoentscheidung früher.

Über den Autor

Dr. Sait Yalazay ist TÜV-zertifizierter Datenschutzbeauftragter, international anerkannter Datenschutzbeauftragter (CIPP).

Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Anbieter: CyberWerkSuite.

Stand: Mai 2026.

Externer DSB für NRW

Sie wollen das in Ihrem Unternehmen sauber umsetzen?

Wir betreuen KMU, Heilberufler und Kommunen in ganz NRW als externer Datenschutzbeauftragter. Erstgespräch ist kostenfrei und unverbindlich.

Kostenloses Erstgespräch Leistungen ansehen
Weiterlesen

Passende Ratgeber-Artikel

Gesundheit

Datenschutz in der Arztpraxis — DSGVO & Schweigepflicht

Gesundheitsdaten sind besondere Daten nach Art. 9 DSGVO. Was Praxen für § 203 StGB sicherstellen müssen.

7 Min.Lesen
Sport

Datenschutz im Fitnessstudio

Mitgliederdaten, Gesundheitsangaben, Videoüberwachung und Apps — was Studios beim Datenschutz beachten müssen.

5 Min.Lesen
Handwerk

Datenschutz im Handwerksbetrieb

Auch Handwerksbetriebe müssen die DSGVO einhalten — Kundendaten, Mitarbeiterdaten und Baustellenfotos in der Praxis.

5 Min.Lesen