LeadGrid

Wie lange darf ein Kandidat im Talent Pool bleiben? Die DSGVO-Regeln erklärt

Abgelehnte Kandidaten, Beinahe-Treffer, zukünftige Fits: Wie lange darf man ihre Daten in einem Talent Pool unter der DSGVO rechtmäßig speichern?

recruitmentguidesVon Ralf Klein · 4 Min. Lesezeit
Recruiter führt ein professionelles Vorstellungsgespräch in einem modernen Büro
Foto von Resume Genius auf Pexels

Ein Kandidat hat sich beworben, kam bis in die Endrunde und hat die Stelle nicht bekommen. Du möchtest ihn für die nächste Vakanz im System behalten. Dieser Instinkt ist richtig. Die Umsetzung muss bewusst erfolgen, denn unter der DSGVO ist "jemanden auf der Liste zu behalten" eine Verarbeitungstätigkeit mit einer Rechtsgrundlage und einer Aufbewahrungsfrist.

Hier ist, was die Regeln tatsächlich sagen.

Der Standard: vier Wochen nach der Ablehnung

Wenn ein Kandidat sich auf eine bestimmte Stelle bewirbt und Du ihn ablehnst, darfst Du seine Daten vier Wochen nach der Ablehnung aufbewahren. Dies deckt den Zeitraum ab, in dem der Kandidat möglicherweise Einspruch erheben oder Einsicht in sein Dossier beantragen könnte.

Nach diesen vier Wochen müssen die Daten gelöscht werden, wenn keine andere Rechtsgrundlage besteht.

Keine Einwilligung, keine aktive Pipeline, keine offene Stelle: löschen.

Erweiterung auf einen Talent Pool: Du brauchst ausdrückliche Einwilligung

Einen Kandidaten länger, in einem Talent Pool, aufzubewahren, erfordert eine ausdrückliche, informierte Einwilligung. Keine implizite Einwilligung. Kein vorab angekreuztes Kästchen. Kein allgemeiner Satz, der in der Datenschutzerklärung vergraben ist.

Der Kandidat muss aktiv zustimmen:

  • in einem Talent Pool aufgenommen zu werden
  • für eine konkrete Aufbewahrungsfrist, die Du vorab nennst
  • für einen Zweck, den Du klar beschreibst (zukünftige Stellen, kein allgemeines Marketing)

Gängige Praxis in Deutschland und in der gesamten EU ist ein Maximum von einem Jahr bei einer einzigen Einwilligung. Nach einem Jahr fragst Du entweder erneut nach der Einwilligung oder löschst das Dossier. Manche Organisationen setzen das Fenster auf zwei Jahre, was bei Funktionen mit langsamem Einstellungszyklus vertretbar ist, aber ein Jahr ist der sicherere Standard.

Was die Einwilligungsanfrage enthalten muss

Eine DSGVO-konforme Talent Pool Opt-in-Anfrage hat drei Komponenten:

  1. Was Du speicherst. Lebenslauf, Kontaktdaten, Gesprächsnotizen, Assessment-Ergebnisse. Sei konkret.
  2. Warum. Zukünftige Vakanzen in Deiner Organisation, die zum Profil des Kandidaten passen.
  3. Wie lange. Ein Jahr ab dem Datum der Einwilligung. Nicht "auf absehbare Zeit."

Füge einen klaren Opt-out-Mechanismus hinzu. Der Kandidat kann die Einwilligung jederzeit widerrufen, und der Widerruf muss genauso einfach sein wie die Einwilligung.

Wenn Du ein Recruitment-Tool oder ATS verwendest, prüfe, ob es Einwilligungs-Zeitstempel protokolliert und automatische Löschungserinnerungen sendet, wenn die Aufbewahrungsfrist abläuft. Manuelle Nachverfolgung in einer Tabelle ist ein Compliance-Risiko in jeder Größenordnung.

Beinahe-Treffer und Talent Pools in der Praxis

Die Talent Pool-Regel gilt gleichermaßen für:

  • Kandidaten, die direkt abgelehnt wurden
  • Kandidaten, die gut gepasst haben, aber gegen einen stärkeren Bewerber verloren haben
  • Kandidaten, die ihre Bewerbung mitten im Prozess zurückgezogen haben

Die Rechtsgrundlage ändert sich nicht danach, wie nah sie dran waren. Wenn sie nicht mehr in einem aktiven Prozess sind, brauchst Du eine Einwilligung oder löschst.

Eine Nuance: Wenn der Kandidat eine offene Bewerbung ohne spezifische Stelle eingereicht hat, ist die implizite Erwartung, dass Du sie für zukünftige Überlegungen speicherst. Das allein stellt keine gültige DSGVO-Einwilligung dar, erleichtert aber das Opt-in-Gespräch.

Die Position der Datenschutzbehörden

Die deutschen und europäischen Datenschutzbehörden haben Leitlinien veröffentlicht, die bestätigen, dass die Talent Pool-Speicherung eine ausdrückliche Einwilligung erfordert, und empfehlen eine maximale Aufbewahrungsfrist von einem Jahr. Organisationen wurden aktiv für die Aufbewahrung von Kandidatendaten ohne gültige Rechtsgrundlage mit Bußgeldern belegt.

Wenn Du über EU-Grenzen hinaus tätig bist, sind die Regeln einheitlich. Die DSGVO gilt einheitlich. Nationale Behörden können sich in der Durchsetzung leicht unterscheiden, aber die Einwilligungs- und Aufbewahrungsanforderungen sind dieselben.

Was Du in Deinen Prozess einbauen musst

Drei praktische Schritte, die die meisten Compliance-Risiken eliminieren:

Bei der Ablehnung: Sende eine einzige, klare E-Mail, in der Du fragst, ob der Kandidat Deinem Talent Pool beitreten möchte. Erkläre, was das bedeutet, wie lange seine Daten aufbewahrt werden, und biete ein One-Click Opt-in an.

Bei der Einwilligung: Protokolliere das Datum und was zugestimmt wurde. Dein ATS oder CRM sollte das automatisch erledigen. Wenn nicht, ist das ein Tooling-Problem, das sich zu lösen lohnt.

Bei Ablauf: Automatische Erinnerung, wenn das Einwilligungsfenster abläuft. Entweder erneut um Einwilligung bitten oder einen Löschungsworkflow auslösen.

Das ist nicht komplex zu implementieren. Es ist leicht zu übersehen. Das Übersehen ist, was die Compliance-Exposition erzeugt.

Die Kurzversion

Abgelehnter Kandidat, keine Einwilligung: nach vier Wochen löschen. Talent Pool mit Einwilligung: bis zu einem Jahr, dann erneut fragen oder löschen. Alles protokollieren. Opt-out muss einfach sein.

Das ist die ganze Regel. Der Rest ist Implementierung.

Teilen:
Für immer kostenlos. Keine Kreditkarte.
Sales + Recruiting in einem Grid
Kostenlos starten