Zum Hauptinhalt springen
frag.hugo Datenschutz Hamburg — frag.hugo Informationssicherheit
Angebot
Alle Artikel
PersonalvermittlungZeitarbeitBewerberdaten

Datenschutz Personalvermittlung & Zeitarbeit Hamburg

Datenschutz Personalvermittlung in Hamburg: Bewerberdaten DSGVO-konform verwalten, Talent-Pool nur mit Einwilligung, Löschfristen und Zeitarbeit-Verantwortung erklärt.

Nils Oehmichen
Nils Oehmichen
Externer DSB · TÜV-zertifiziert
28. Mai 2026

Inhalt in Kürze

  • Bewerberdaten im laufenden Verfahren ruhen auf Art. 6 Abs. 1 lit. b DSGVO plus § 26 BDSG. Gesundheit oder Schwerbehinderung sind besondere Kategorien nach Art. 9 — die brauchen eine eigene Grundlage.
  • Der Talent-Pool ist der häufigste Fehler: Profile über das aktuelle Verfahren hinaus zu speichern ist nur mit ausdrücklicher, widerruflicher Einwilligung erlaubt — Speicherdauer ein bis zwei Jahre, dann nachfragen.
  • Zeitarbeit ist ein Dreiecksverhältnis: Verleiher und Entleiher sind beide datenschutzrechtlich verantwortlich für ihren jeweiligen Teil. Keine Auftragsverarbeitung, keine einfache Abwälzung.
  • Löschfrist abgelehnter Bewerber: rund sechs Monate nach Absage — abgeleitet aus § 15 Abs. 4 AGG und § 61b ArbGG. Wer länger speichert, ohne Einwilligung, verstößt gegen die Speicherbegrenzung.

Stand: Mai 2026 · Autor: Nils Oehmichen · Lesezeit: 9 Minuten

Ein Hamburger Personaldienstleister mit 30 Mitarbeitern hatte 11.000 Kandidatenprofile in seiner Datenbank — die ältesten von 2019, keine einzige Einwilligung dokumentiert. Aufgefallen ist es bei einer Auskunftsanfrage: Ein Kandidat verlangte zu wissen, welche Daten gespeichert sind. Die Antwort lieferte den Beweis für einen jahrelangen Verstoß gegen die Speicherbegrenzung gleich mit. Datenschutz in der Personalvermittlung dreht sich genau um diese Spannung: Sie leben von Ihrer Kandidaten-Datenbank, dürfen sie aber nicht beliebig lange halten.

Dieser Artikel sortiert die Rechtsgrundlagen für Bewerberdaten, klärt die Sache mit dem Talent-Pool, erklärt die Dreieckskonstellation der Zeitarbeit und gibt Ihnen einen Fahrplan an die Hand, der den Betrieb nicht lahmlegt.

Hamburg-Kontext:

Hamburg ist einer der dichtesten Standorte für Personaldienstleister in Deutschland — Hafen, Logistik und Speditionen brauchen permanent gewerbliche Zeitarbeitskräfte, die kaufmännische Vermittlung läuft über die City. Die zuständige Aufsicht ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in der Ludwig-Erhard-Straße 22. Beschäftigten- und Bewerberdatenschutz ist dort ein Dauerthema, weil hier besonders sensible Daten anfallen: Gesundheit, Vorstrafen-Freiheit für Hafensicherheit, Schwerbehinderung.

Datenschutz Personalvermittlung: die richtige Rechtsgrundlage für Bewerberdaten

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Bei Bewerbern ist sie eindeutig — solange Sie im laufenden Verfahren bleiben.

Für die Sichtung, Bewertung und Kommunikation während eines konkreten Bewerbungs- oder Vermittlungsverfahrens stützen Sie sich auf zwei Säulen: Art. 6 Abs. 1 lit. b DSGVO (Durchführung vorvertraglicher Maßnahmen auf Anfrage der Person) und § 26 Abs. 1 BDSG, der die Datenverarbeitung zur Anbahnung eines Beschäftigungsverhältnisses erlaubt. Den genauen Wortlaut finden Sie bei gesetze-im-internet.de zu § 26 BDSG.

Bei der reinen Vermittlung — Sie bringen Kandidat und Kundenbetrieb zusammen, ohne selbst Arbeitgeber zu werden — verarbeiten Sie auf Wunsch des Kandidaten. Auch hier trägt Art. 6 Abs. 1 lit. b, weil die Vermittlung das Vertragsziel ist, das der Kandidat mit Ihnen verfolgt.

Gesundheit, Schwerbehinderung, Vorstrafen: die besonderen Kategorien

Sobald ein Lebenslauf eine Schwerbehinderung, eine chronische Erkrankung oder ähnliche Gesundheitsangaben enthält, verlassen Sie das normale Datenschutzregime. Das sind besondere Kategorien nach Art. 9 DSGVO mit grundsätzlichem Verarbeitungsverbot. Die Erlaubnis liefert hier § 26 Abs. 3 BDSG, der die Verarbeitung solcher Daten im Beschäftigungskontext erlaubt, wenn sie zur Ausübung von Rechten oder Pflichten aus dem Arbeitsrecht erforderlich ist.

Achtung:

Gerade in der Hafen- und Logistik-Zeitarbeit fallen häufig Gesundheitsdaten an — Tauglichkeitsuntersuchungen, Führungszeugnisse, G-Untersuchungen. Diese Daten gehören in einen getrennten, zugriffsbeschränkten Bereich und dürfen nicht für die allgemeine Profilsuche im System auftauchen. Wer alles in ein flaches Kandidatenfeld kippt, riskiert einen Verstoß bei jeder internen Suche.

Der Talent-Pool: der teuerste Irrtum der Branche

Hier scheitern die meisten Personaldienstleister. Das laufende Verfahren rechtfertigt die Speicherung — aber nur bis das Verfahren abgeschlossen ist. Danach fehlt die Grundlage. Ein Kandidat, den Sie für spätere Stellen behalten wollen, ist ein neuer Verarbeitungszweck. Und der braucht eine eigene Rechtsgrundlage.

Diese Grundlage ist die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Wie Dr. Datenschutz zur datenschutzkonformen Talentpool-Aufnahme festhält, ist die Speicherung im Talent-Pool weiterhin nur mit Einwilligung zulässig — es gibt keine Hintertür über das berechtigte Interesse, mit der Sie das umgehen.

Drei Anforderungen an diese Einwilligung:

  • Freiwillig und granular. Der Kandidat darf der Aufnahme in den Pool zustimmen, ohne dass seine Bewerbung sonst schlechter behandelt wird. Sie koppeln die Einwilligung nicht an die Teilnahme am Verfahren.
  • Ausdrücklich und nachweisbar. Ein vorangekreuztes Kästchen reicht nicht. Sie brauchen eine aktive Handlung und müssen den Zeitpunkt sowie den Wortlaut dokumentieren — Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.
  • Jederzeit widerruflich. Der Widerruf muss so einfach sein wie die Erteilung. Ein Widerruf führt zur Löschung des Profils, sofern keine andere Grundlage greift.

Wie lange darf so ein Profil bleiben? Die DSGVO nennt keine Zahl, aber die IHK Region Stuttgart hält im Bewerbungsverfahren eine Speicherung von ein bis zwei Jahren für angemessen, danach fragen Sie aktiv nach, ob der Kandidat im Pool bleiben möchte. Das ist gelebte Praxis und der sicherste Weg.

Das Wichtigste: Ein Profil ohne dokumentierte Einwilligung gehört nicht in den Talent-Pool. Punkt. Lieber 11.000 Profile bereinigen als bei der nächsten Auskunftsanfrage den eigenen Verstoß ausliefern.

Löschfristen für Bewerberdaten: warum sechs Monate die Faustregel sind

Wenn ein Kandidat eine Absage erhält und keine Einwilligung für den Pool gegeben hat, beginnt die Uhr zu ticken. Die magische Zahl ist sechs Monate.

Der Grund liegt nicht im Datenschutzrecht, sondern im Antidiskriminierungsrecht. Ein abgelehnter Bewerber kann nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) Entschädigung verlangen, wenn er sich diskriminiert fühlt. Dafür hat er nach § 15 Abs. 4 AGG zwei Monate Zeit, den Anspruch geltend zu machen, plus die dreimonatige Klagefrist nach § 61b ArbGG. Mit Puffer für Zustellung und Verzögerung ergeben sich die rund sechs Monate, in denen Sie die Unterlagen für Ihre Verteidigung brauchen. Das bestätigt auch Dr. Datenschutz zur Aufbewahrungsfrist von Bewerbungen.

Danach entfällt die Rechtsgrundlage, und Sie müssen löschen.

Datenart / SituationAufbewahrungGrundlage
Unterlagen abgelehnter Bewerberbis ~6 Monate nach Absage§ 15 Abs. 4 AGG + § 61b ArbGG
Kandidat in Vermittlung / laufendes Verfahrenbis VerfahrensendeArt. 6 Abs. 1 lit. b + § 26 BDSG
Talent-Pool / Kandidaten-Datenbank1–2 Jahre, dann Re-EinwilligungArt. 6 Abs. 1 lit. a (Einwilligung)
Vermittelte Leiharbeitnehmer (Arbeitsvertrag)bis 6/10 Jahre nach EndeHGB/AO (Lohn, Abrechnung)
AÜG-Überlassungsverträgenach AÜG-Dokumentationspflicht§ 11 AÜG
~6 Mon.
Löschfrist nach Absage
2 Mon.
AGG-Geltendmachung (§ 15 IV)
1–2 J.
Talent-Pool mit Einwilligung
Art. 9
Gesundheitsdaten besonders

Das Thema hängt eng mit Ihrem allgemeinen Löschkonzept zusammen — wie Sie Löschfristen systematisch ableiten und dokumentieren, lesen Sie in unserem Leitfaden zum Löschkonzept mit Löschfristen-Tabelle und speziell zu Bewerberdaten: Aufbewahrung und Löschung.

Datenweitergabe an Kundenbetriebe: Profil-Freigabe richtig gemacht

Das Kerngeschäft der Vermittlung ist die Weitergabe von Kandidatenprofilen an Kundenbetriebe. Genau hier passieren Datenschutz-Fehler, weil es so selbstverständlich wirkt.

Eine Übermittlung an einen Dritten — und der Kundenbetrieb ist datenschutzrechtlich ein Dritter — braucht eine eigene Rechtfertigung. Zulässig ist sie, wenn die Weitergabe für das Vermittlungsziel erforderlich ist, das der Kandidat verfolgt, und wenn der Kandidat transparent darüber informiert wurde. In der Praxis bedeutet das: Freigabe je Kunde.

  1. Schritt 1: Der Kandidat erfährt bei Aufnahme, dass und wozu Sie sein Profil an passende Kundenbetriebe weitergeben — das gehört in Ihre Datenschutzinformation nach Art. 13 DSGVO.
  2. Schritt 2: Vor jeder konkreten Weitergabe nennen Sie den Kandidaten den Kundenbetrieb (oder zumindest Branche und Ort) und holen sein Okay ein. Eine pauschale Weitergabe an unbestimmt viele Betriebe ist nicht zulässig.
  3. Schritt 3: Sie geben nur die für die Stelle relevanten Daten weiter — nicht den kompletten Datensatz mit Gesundheitsangaben oder Gehaltsvorstellungen aus früheren Verfahren. Datenminimierung nach Art. 5 Abs. 1 lit. c.
Tipp:

Halten Sie in Ihrem Verarbeitungsverzeichnis fest, an welche Kategorien von Empfängern Profile gehen. Bei einer Prüfung durch den HmbBfDI ist die erste Frage fast immer: „Wer bekommt die Daten und auf welcher Grundlage?" Wer das sauber dokumentiert hat, ist in zehn Minuten durch.

Zeitarbeit: Wer ist im Dreiecksverhältnis verantwortlich?

Bei der Arbeitnehmerüberlassung (ANÜ) wird es konstruktiv interessant. Es gibt drei Parteien: den Verleiher (Ihr Zeitarbeitsunternehmen), den Entleiher (Kundenbetrieb) und den Leiharbeitnehmer. Die Frage, wer datenschutzrechtlich verantwortlich ist, beantworten viele falsch.

Die saubere Antwort lautet: beide, je für ihren Teil. Wie der datenschutzberater.nrw zur Zeitarbeit und Arbeitnehmerüberlassung erläutert, sind sowohl Verleiher als auch Entleiher verantwortliche Stellen im Sinne der DSGVO. Es ist keine Auftragsverarbeitung — Sie können den Datenschutz nicht per AVV auf den Kundenbetrieb abwälzen, und umgekehrt auch nicht.

  • Der Verleiher ist verantwortlich für die Vermittlung, das Arbeitsverhältnis mit dem Leiharbeitnehmer, Lohnabrechnung, Sozialversicherung und die AÜG-Dokumentation.
  • Der Entleiher ist verantwortlich für die Daten, die er während des Einsatzes selbst erhebt und nutzt — Zeiterfassung vor Ort, Zugangskontrolle, IT-Konten, Arbeitsanweisungen.

Jede Partei muss den Leiharbeitnehmer über ihre Verarbeitung informieren. Der Leiharbeitnehmer ist damit eine Person mit zwei Datenschutz-Verantwortlichen gleichzeitig.

Wichtig:

Verwechseln Sie diese Dreieckskonstellation nicht mit einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO. In der Regel liegen getrennte Verantwortlichkeiten vor — jeder für seinen abgegrenzten Bereich. Eine gemeinsame Verantwortlichkeit kommt nur in Betracht, wo Verleiher und Entleiher Zwecke und Mittel tatsächlich zusammen festlegen. Klären Sie das pro Kundenbeziehung, statt pauschal eine Vereinbarung zu unterschreiben.

AÜG-Dokumentation und Datenschutz

Das Arbeitnehmerüberlassungsgesetz verpflichtet Sie als Verleiher zu umfangreicher Dokumentation — Überlassungsverträge, Erlaubnis, Equal-Pay-Nachweise. Diese Dokumente enthalten personenbezogene Daten und unterliegen ihren eigenen Aufbewahrungspflichten. Den Gesetzestext finden Sie bei gesetze-im-internet.de zum AÜG. Wichtig für den Datenschutz: Auch hier gilt Zweckbindung. AÜG-Unterlagen dienen der Nachweispflicht gegenüber Behörden — nicht als Fundus für Ihr Marketing.

Active Sourcing über LinkedIn: das stille Risiko

Active Sourcing — die direkte Ansprache von Kandidaten in beruflichen Netzwerken — ist aus dem Recruiting nicht wegzudenken. Die proaktive Suche ist grundsätzlich zulässig, wie die Kanzlei Kolb Blickhan & Partner zur datenschutzrechtlichen Zulässigkeit des Active Sourcing bestätigt. Aber es gibt einen Haken.

Wenn Sie ein Profil sichten, bewerten und speichern, verarbeiten Sie personenbezogene Daten ohne Wissen der Person. Das löst die Informationspflicht nach Art. 14 DSGVO aus: Sie müssen die Person spätestens bei der ersten Kontaktaufnahme informieren, welche Daten Sie woher haben und zu welchem Zweck Sie sie nutzen.

Achtung:

Das automatisierte Abgreifen ganzer Profillisten (Scraping) und das dauerhafte Anlegen einer Schatten-Datenbank ohne Information ist das eigentliche Risiko — nicht die einzelne, transparente Ansprache. Wer hunderte Profile abzieht und im CRM parkt, baut sich einen Talent-Pool ohne Einwilligung. Genau das, was oben verboten ist.

Aus der Praxis

Viele Unternehmer denken, ich bin doch zu klein für das ganze Thema Datenschutz. Wir haben Mandanten mit drei, vier, fünf Mitarbeitern – die arbeiten für große Kunden mit enormen Ansprüchen an den Datenschutz. Gerade Personaldienstleister unterschätzen das: Sie verwalten oft tausende Profile, und der erste Kunde, der ein Audit verlangt, fragt als Erstes nach dem Umgang mit Bewerberdaten.

Nils Oehmichen Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Ihr pragmatischer Fahrplan

Sie müssen nicht alles auf einmal lösen. Diese Reihenfolge bringt Sie schnell aus der roten Zone:

  1. Schritt 1 — Bestand sichten: Wie viele Profile liegen ohne dokumentierte Einwilligung im System? Wie alt sind die ältesten? Das ist Ihr Risiko-Maß.
  2. Schritt 2 — Löschlauf für Altlasten: Abgelehnte Bewerber älter als sechs Monate ohne Pool-Einwilligung werden gelöscht. Pool-Profile älter als zwei Jahre ohne Re-Bestätigung ebenso.
  3. Schritt 3 — Einwilligung in den Prozess bauen: Jedes neue Profil bekommt beim Eingang eine granulare, dokumentierte Einwilligung für die Pool-Aufnahme — oder eben nicht, dann gilt die Sechs-Monats-Frist.
  4. Schritt 4 — Datenschutzinformation aktualisieren: Art. 13/14 sauber abdecken, inklusive Weitergabe an Kundenbetriebe und Speicherdauer.
  5. Schritt 5 — Zeitarbeit-Verantwortlichkeiten klären: Pro Entleiher festhalten, wer was verarbeitet, und die Information des Leiharbeitnehmers organisieren.

Das ist genau die Art Aufräumen, die mit einer guten Plattform in Tagen statt Monaten erledigt ist. In unserer Software Hugo DSB pflegen Sie das Verarbeitungsverzeichnis, die Löschfristen und die Einwilligungs-Nachweise an einem Ort — und sehen auf einen Blick, welche Profile fällig sind. Wie wir mit anderen Hamburger Branchen mit hoher Datendichte arbeiten, zeigt unsere Seite für Datenschutz in Reedereien, und worauf es beim Beschäftigtendatenschutz generell ankommt, lesen Sie im verlinkten Beitrag.

Fazit / Ihr nächster Schritt

Datenschutz in der Personalvermittlung ist kein Hexenwerk, aber er hat drei scharfe Kanten: die fehlende Einwilligung beim Talent-Pool, die Sechs-Monats-Löschfrist nach Absage und die Dreieckskonstellation der Zeitarbeit. Wer diese drei sauber im Griff hat, übersteht jedes Kunden-Audit und jede HmbBfDI-Anfrage entspannt. Der Rest ist Dokumentation — und die lässt sich automatisieren.

Bewerberdaten und Talent-Pool DSGVO-sicher aufstellen — als Festpreis.

Als externer Datenschutzbeauftragter für Hamburger Personaldienstleister bringen wir Ihre Kandidaten-Datenbank in Ordnung: Einwilligungen, Löschfristen, Zeitarbeit-Verantwortlichkeiten. TÜV-zertifiziert, ab 79 € netto/Monat, in 7 Werktagen startklar. Buchen Sie ein kostenloses 15-Minuten-Erstgespräch.

Kostenloses Erstgespräch buchen →

Häufige Fragen (FAQ)

Auf welcher Rechtsgrundlage verarbeite ich Bewerberdaten?

Für das laufende Bewerbungs- oder Vermittlungsverfahren stützen Sie sich auf Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahme) und § 26 Abs. 1 BDSG (Anbahnung eines Beschäftigungsverhältnisses). Gesundheitsdaten oder eine Schwerbehinderung sind besondere Kategorien nach Art. 9 DSGVO und brauchen eine eigene Grundlage, in der Regel § 26 Abs. 3 BDSG. Für jede Nutzung darüber hinaus — etwa den Talent-Pool — brauchen Sie eine Einwilligung.

Wie lange darf ich Bewerberunterlagen speichern?

Unterlagen abgelehnter Bewerber sollten Sie spätestens sechs Monate nach der Absage löschen. Die Frist leitet sich aus der Zwei-Monats-Frist des § 15 Abs. 4 AGG plus der dreimonatigen Klagefrist nach § 61b ArbGG ab — mit Puffer ergeben sich rund sechs Monate, in denen Sie sich gegen einen Diskriminierungsvorwurf verteidigen können müssen. Länger geht nur mit ausdrücklicher Einwilligung des Kandidaten.

Brauche ich für den Talent-Pool eine Einwilligung?

Ja. Sobald Sie ein Bewerber- oder Kandidatenprofil über das konkrete Verfahren hinaus aufbewahren, fehlt die ursprüngliche Rechtsgrundlage. Die Speicherung im Talent-Pool ist nur mit einer freiwilligen, ausdrücklichen und jederzeit widerruflichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO zulässig. Aufsichtsbehörden und IHK halten eine Speicherdauer von ein bis zwei Jahren für angemessen, danach fragen Sie erneut.

Wer ist bei Zeitarbeit für den Datenschutz verantwortlich — Verleiher oder Entleiher?

Beide. In der Arbeitnehmerüberlassung entsteht ein Dreiecksverhältnis. Der Verleiher (das Zeitarbeitsunternehmen) ist Verantwortlicher für die Vermittlung, Abrechnung und das Arbeitsverhältnis, der Entleiher (Kundenbetrieb) für die Daten, die er während des Einsatzes selbst verarbeitet — etwa Zeiterfassung oder Zugangsdaten. Es ist keine klassische Auftragsverarbeitung. Beide informieren den Leiharbeitnehmer über ihre jeweilige Verarbeitung.

Darf ich Kandidatenprofile per Active Sourcing über LinkedIn ansprechen?

Die aktive Ansprache ist grundsätzlich zulässig, aber Sie verarbeiten dabei personenbezogene Daten ohne Wissen der Person. Nach Art. 14 DSGVO müssen Sie die Person spätestens bei der ersten Kontaktaufnahme darüber informieren, welche Daten Sie woher haben und zu welchem Zweck. Reines Abspeichern oder automatisiertes Scraping ganzer Profillisten ohne diese Information ist heikel und kann eine Einwilligung erfordern.

Darf ich ein Bewerberprofil ohne Einwilligung an einen Kundenbetrieb weitergeben?

Nur wenn die Weitergabe für genau das Vermittlungsziel erforderlich ist, das der Kandidat verfolgt — und transparent gemacht wurde. In der Praxis arbeiten seriöse Personaldienstleister mit einer Freigabe je Kunde: Der Kandidat erfährt, an welchen Betrieb sein Profil geht, und stimmt zu. Eine pauschale Weitergabe an unbestimmt viele Kundenbetriebe ohne Information ist nicht zulässig.

Recherche-Stand: verifiziert am 28.05.2026 über dr-datenschutz.de, ihk.de, datenschutzberater.nrw, kolb-blickhan-partner.de, gesetze-im-internet.de (§ 26 BDSG, § 15 AGG, AÜG) und datenschutz-hamburg.de.

Auch interessant
Datenschutz-Audit

Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)

Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner

Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)

Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.
Anrufen Angebot