Bewerbungsformulare erfassen deutlich mehr als nur Kontaktdaten, sondern oft sensible Informationen, die unter den besonderen Schutz der Datenschutz-Grundverordnung fallen. Das größte Risiko liegt weniger in der Technik des Formulars selbst, sondern im gesamten Verlauf der Datenverarbeitung bis zur Löschung. Unternehmer müssen die Prozesskette von der Eingabe bis zur Vernichtung der Daten sicher gestalten, um Compliance-Anforderungen zu genügen.
Die rechtliche Einordnung von Bewerberdaten
Ein einfaches Kontaktformular dient in der Regel der Kommunikation auf Anfrage. Hier wird oft ein berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO angenommen, da der Nutzer aktiv den Kontakt sucht. Bei einem Bewerbungsformular ändert sich die Lage grundlegend. Der Zweck ist spezifisch auf die Begründung eines Beschäftigungsverhältnisses gerichtet.
In Deutschland ist hierfür häufig § 26 BDSG die spezifischere Rechtsgrundlage neben der DSGVO. Der Unterschied liegt in der Art der Daten. Ein Lebenslauf oder ein Anschreiben enthält nicht nur Namen und E-Mail-Adressen. Oft werden Informationen enthalten, die als besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO gelten können. Dazu zählen beispielsweise Hinweise auf Gesundheitsschwerpunkte, Gewerkschaftszugehörigkeit oder auch Fotos, aus denen ethnische Herkunft abgeleitet werden könnte.
Wer solche Daten erhebt, braucht eine strengere Rechtsgrundlage. Eine pauschale Einwilligung im Formular ist oft problematisch, da im Bewerbungsverfahren ein Machtungleichgewicht zwischen Bewerber und Unternehmen besteht. Die Freiwilligkeit der Einwilligung ist dann nicht immer gegeben. Es ist daher notwendig, genau zu prüfen, welche Felder im Formular wirklich abgefragt werden. Jedes unnötige Feld erhöht das Risiko und die Dokumentationspflicht.
Technische Sicherheit bei der Übertragung
Die Technik ist die erste Hürde in der Prozesskette. Eine verschlüsselte Übertragung via TLS/SSL ist heute Standard und für Bewerbungsdaten zwingend notwendig. Ohne das Schloss-Symbol im Browser und das https-Protokoll sollten keine personenbezogenen Daten übertragen werden. Dies schützt vor dem Mitlesen während der Übertragung vom Endgerät des Bewerbers zum Server.
Doch die Verschlüsselung endet oft nicht am Server. Ein häufiger Fehler ist die Weiterleitung der Formulardaten per einfacher E-Mail an die Personalverantwortlichen. E-Mails werden im Transport zwischen den Mailservern oft unverschlüsselt versendet. Die Daten liegen dann im Postfach des Empfängers und sind dort potenziell weniger geschützt als in einer Datenbank mit Zugriffsbeschränkung.
Aus Sicht der IT-Sicherheit ist es ratsam, Bewerbungsdaten direkt in einer geschützten Datenbank oder einem speziellen Bewerbermanagement-System zu speichern, statt sie als Klartext im E-Mail-Postfach landen zu lassen. Auch der Standort des Servers spielt eine Rolle. Eine Speicherung innerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums vermeidet Konflikte mit dem Datenschutzniveau Dritter Länder. Wer seine technische Infrastruktur plant, sollte auch die langfristige Strategie im Blick behalten. Mehr dazu in Webdesign 2026 Strategie.
Der interne Prozess nach dem Absenden
Die meisten Fehler passieren nicht im Formular selbst, sondern im weiteren Verarbeitungsprozess und bei der Speicherdauer. Sobald die Daten beim Unternehmen eingehen, beginnt die organisatorische Pflicht zur Sicherheit. Wer hat Zugriff auf die eingehenden Bewerbungen? In vielen kleinen Unternehmen landet die Post im allgemeinen Info-Postfach, auf das mehrere Mitarbeiter Zugriff haben.
Das violates dem Prinzip der Datensparsamkeit und der Zugriffsbeschränkung. Nur Personen, die für die Entscheidung über die Einstellung notwendig sind, sollten die Daten einsehen können. Es muss technisch und organisatorisch sichergestellt werden, dass Unbefugte keine Einsicht nehmen können. Dazu gehört auch die Schulung der Mitarbeiter im Umgang mit sensiblen Daten.
Ein weiterer Punkt ist die Weitergabe an Dritte. Wenn externe Berater oder andere Firmenstandorte Zugriff auf die Bewerberdaten erhalten, muss dies datenschutzrechtlich abgedeckt sein. Oft wird unterschätzt, dass schon das Öffnen einer E-Mail auf einem privaten Smartphone des Chefs ein Sicherheitsrisiko darstellen kann, wenn das Gerät nicht ausreichend gesichert ist. Die Prozesskette muss lückenlos dokumentiert und sicher sein.
Löschkonzepte und Dokumentation
Daten dürfen nicht ewig gespeichert werden. Für Bewerbungsunterlagen gelten spezifische Fristen. Wird der Bewerber eingestellt, werden die Daten zur Personalakte und unterliegen anderen Aufbewahrungsfristen, etwa aus dem Steuerrecht. Wird der Bewerber abgelehnt, greifen andere Regeln.
Das Allgemeine Gleichbehandlungsgesetz (AGG) sieht vor, dass Bewerber im Falle einer Diskriminierungsklage Beweise vorlegen müssen. Daher werden oft Fristen von zwei bis sechs Monaten nach Absage empfohlen, um Unterlagen vorzuhalten, falls es zu einer rechtlichen Auseinandersetzung kommt. Eine Speicherung darüber hinaus ohne neue Einwilligung ist in der Regel nicht zulässig.
Unternehmer müssen nachweisen können, wann und warum Daten gelöscht wurden. Ein einfaches Löschen auf dem Bildschirm reicht für die Dokumentation nicht aus. Es braucht einen nachvollziehbaren Prozess. Wer hier unsicher ist, sollte bestehende Angebote prüfen lassen, ob sie ein faires Preis-Leistungs-Verhältnis im Hinblick auf Compliance-Features bieten. Neutralität bei der Prüfung bestehender Systeme ist hierbei entscheidend, siehe auch unsere Leistungen.
Checkliste vor der Implementierung
Bevor ein Bewerbungsformular live geht, sollten folgende Punkte geprüft werden. Diese Liste ersetzt keine Rechtsberatung, dient aber als praktische Orientierung für die Umsetzung.
1. Verschlüsselung prüfen: Ist das SSL-Zertifikat aktiv und gültig? Wird die gesamte Seite über https ausgeliefert?
2. Datenminimierung: Werden wirklich nur Daten abgefragt, die für die Entscheidung notwendig sind? Felder wie Religion oder Familienstand gehören meist nicht in ein Standardformular.
3. Datenschutzerklärung: Ist der Abschnitt über Bewerbungen in der Datenschutzerklärung aktuell und verlinkt? Der Bewerber muss vor der Absendung informiert werden.
4. Zugriffsrechte: Wer empfängt die Daten intern? Ist der Zugriff auf diese Personengruppe beschränkt?
5. Löschfrist definieren: Ist im internen Prozess festgelegt, wann abgelehnte Bewerbungen vernichtet werden?
6. Einwilligung vs. berechtigtes Interesse: Ist die Rechtsgrundlage für die Verarbeitung im internen Verzeichnis von Verarbeitungstätigkeiten dokumentiert?
Wer diese Punkte nicht selbst sicher abbilden kann, sollte externe Unterstützung hinzuziehen. Es geht darum, Risiken sachlich einzuordnen und keine Panik zu verbreiten, aber auch keine Fahrlässigkeit an den Tag zu legen. Weitere allgemeine Hinweise finden Sie in unserem Ratgeber.
Fazit und Handlungsempfehlung
Ein Bewerbungsformular ist mehr als ein technisches Feature. Es ist der Einstieg in einen sensiblen Datenverarbeitungsprozess. Die Technik muss stimmen, aber die organisatorische Sicherheit wiegt schwerer. Unternehmer sollten nicht nur auf die Optik des Formulars achten, sondern auf den Weg der Daten danach.
Wenn Sie unsicher sind, ob Ihre aktuelle Lösung den Anforderungen genügt, können Sie eine neutrale Prüfung anfordern. Wir arbeiten auf der Seite des Kunden und prüfen vorhandene Angebote auf ein faires Preis-Leistungs-Verhältnis und zeitgemäße Technik. Nehmen Sie Kontakt auf unter Anfrage, um Ihre spezifische Situation zu besprechen.
