DSGVO im Recruiting-Messaging: Bewerberdaten, Opt-in und AGG-Konformität
WhatsApp im Recruiting? Nur mit sauberer Rechtsgrundlage. Dieser Leitfaden erklärt die DSGVO-Anforderungen für Messaging im Bewerberprozess: Einwilligung vs. berechtigtes Interesse, 6-Monats-Löschregel, AGG-Konformität und AVV.
TL;DR
Wer Kandidaten per WhatsApp, SMS oder anderen Messaging-Kanälen kontaktiert, braucht eine saubere DSGVO-Grundlage. Drei Rechtsgrundlagen kommen im Recruiting-Kontext in Frage: Einwilligung (Art. 6(1)(a)) für Talent-Pool-Kampagnen und proaktive Outreach-Nachrichten, vorvertragliche Maßnahmen (Art. 6(1)(b)) für Kommunikation im laufenden Bewerbungsprozess und berechtigtes Interesse (Art. 6(1)(f)) für eng begrenzte Fälle. Dazu kommen die 6-Monats-Regel nach dem AGG, die Pflicht zur AGG-konformen Kommunikation und ein AVV mit Ihrem Messaging-Dienstleister. Dieser Leitfaden erklärt alle Anforderungen: praxisnah und ohne Juristendeutsch. Zurück zum Cluster: Messaging im Recruiting: der vollständige DACH-Leitfaden 2026.
Hinweis: Dieser Leitfaden gibt einen praxisorientierten Überblick und ersetzt keine Rechtsberatung. Bei spezifischen Compliance-Fragen empfehlen wir, einen Datenschutzbeauftragten oder Fachanwalt hinzuzuziehen.
3 Rechtsgrundlagen für Messaging im Recruiting
Die DSGVO erlaubt die Verarbeitung personenbezogener Daten nur, wenn eine der in Art. 6 genannten Rechtsgrundlagen vorliegt. Im Recruiting-Messaging sind drei Grundlagen relevant:
| Rechtsgrundlage | Wann anwendbar | Beispiel im Recruiting |
|---|---|---|
| Art. 6(1)(a): Einwilligung | Kandidat hat ausdrücklich und freiwillig zugestimmt. Widerruf jederzeit möglich. | Talent-Pool-Aufnahme, WhatsApp-Broadcast für neue Stellen, proaktive Outreach-Kampagne |
| Art. 6(1)(b): Vorvertragliche Maßnahmen | Datenverarbeitung ist für die Durchführung vorvertraglicher Maßnahmen notwendig, die auf Anfrage der betroffenen Person erfolgen. | Statusupdates im laufenden Bewerbungsprozess, Interviewkoordination, Terminerinnerungen |
| Art. 6(1)(f): Berechtigtes Interesse | Berechtigtes Interesse des Verantwortlichen, das die Interessen der betroffenen Person nicht überwiegt. Erfordert eine Interessenabwägung (LIA). | Eng begrenzt: z. B. einmalige Kontaktaufnahme zu einer klar passenden Stelle, wenn Kontakt bereits aus beruflichem Kontext besteht (z. B. Xing-Kontakt) |
Welche Rechtsgrundlage für welchen Anwendungsfall?
Laufender Bewerbungsprozess (Art. 6(1)(b)): Sobald ein Kandidat eine Bewerbung eingereicht hat, ist die weitere Kommunikation im Rahmen des Prozesses: Statusupdates, Interview-Einladungen, Absagen. Sie sind durch vorvertragliche Maßnahmen gedeckt. Kein zusätzliches Opt-in erforderlich, aber: die Einwilligung zum Kanal (WhatsApp) muss separat vorliegen. Die DSGVO-Rechtsgrundlage erlaubt die Verarbeitung – nicht den Kanal selbst.
Talent Pool und Kampagnen (Art. 6(1)(a)): Für die proaktive Kontaktaufnahme nach Abschluss eines Bewerbungsprozesses: also für Talent-Pool-Reaktivierung, neue Stellenangebote, Employer-Branding-Nachrichten, ist immer eine ausdrückliche Einwilligung erforderlich. Berechtigtes Interesse ist hier in der Regel nicht ausreichend, da die Erwartungen des Kandidaten nach einer Absage nicht mehr auf weiteren Kontakt ausgerichtet sind.
Proaktives Sourcing (Art. 6(1)(f), mit Vorsicht): Für die erstmalige Direktansprache über Messaging-Kanäle ist das berechtigte Interesse nur in sehr engen Grenzen anwendbar. Sie erfordert eine dokumentierte Interessenabwägung. Im Zweifel: Opt-in einholen statt auf berechtigtes Interesse setzen.
Bewerberdaten-Aufbewahrung: Die 6-Monats-Regel
Die wichtigste Löschregel im deutschen Recruiting-Recht kommt nicht direkt aus der DSGVO, sondern aus dem Allgemeinen Gleichbehandlungsgesetz (AGG). Nach § 15 Abs. 4 AGG verjähren Ansprüche wegen Diskriminierung bei der Einstellung innerhalb von 2 Monaten nach Zugang der Absage. Die tatsächliche Klageverjährung beträgt 3 Jahre (§ 195 BGB).
In der Praxis hat sich eine Aufbewahrungsdauer von 6 Monaten nach Abschluss des Bewerbungsverfahrens als Kompromiss zwischen AGG-Schutz und DSGVO-Datensparsamkeit etabliert. Viele Datenschutzbehörden empfehlen diesen Zeitraum ausdrücklich.
| Kandidatenstatus | Aufbewahrungsdauer | Rechtsgrundlage |
|---|---|---|
| Aktiver Bewerbungsprozess | Bis Prozessende + 6 Monate | Art. 6(1)(b) + AGG-Klagefrist |
| Abgelehnter Bewerber ohne Opt-in | 6 Monate nach Absage, dann löschen | AGG § 15 Abs. 4 |
| Talent Pool mit aktivem Opt-in | Bis zum Widerruf der Einwilligung, max. 2–3 Jahre (regelmäßige Erneuerung empfohlen) | Art. 6(1)(a) DSGVO |
| Einstellungsunterlagen (Vertragsabschluss) | Laufzeit Arbeitsverhältnis + 10 Jahre | Steuerrecht / Handelsrecht |
Praktische Umsetzung: Richten Sie in Ihrem ATS automatisierte Lösch- oder Anonymisierungsregeln ein, die nach Ablauf der Fristen anspringen. In SendSeven können Sie Kandidaten mit einem Tag wie löschdatum:2026-10-01 versehen und über Webhooks, Zapier oder Make.com automatisierte Erinnerungen triggern. Die Verantwortung für die Löschung liegt beim Verantwortlichen: also bei Ihnen, nicht beim Messaging-Dienstleister.
Doppeltes Opt-in für Talent Pool und Kampagnen
Das Double-Opt-in-Verfahren ist zwar für E-Mail-Marketing in Deutschland de facto Standard, für WhatsApp und SMS jedoch nicht explizit gesetzlich vorgeschrieben. Trotzdem empfehlen wir es – aus einem einfachen Grund: Es liefert den sichersten Nachweis für eine wirksame Einwilligung.

Ablauf des Double-Opt-in
- Erstanfrage: Kandidat trägt sich in ein Formular ein (z. B. „Ich möchte per WhatsApp über passende Stellen informiert werden“) oder klickt auf einen Opt-in-Link in einer E-Mail.
- Bestätigungsnachricht: Kandidat erhält eine WhatsApp-Nachricht: „Bitte bestätigen Sie Ihre Einwilligung durch eine Antwort auf diese Nachricht oder durch Klick auf: [Link].“
- Bestätigung: Kandidat antwortet oder klickt. Die Einwilligung wird aktiviert und mit Zeitstempel, Kanal und Einwilligungstext gespeichert.
Was die Dokumentation enthalten muss
Nach Art. 7 Abs. 1 DSGVO liegt die Nachweispflicht beim Verantwortlichen. Folgende Daten müssen pro Opt-in gespeichert werden:
- Datum und Uhrzeit der Einwilligung
- Kanal (WhatsApp, SMS, E-Mail)
- Exakter Einwilligungstext, dem der Kandidat zugestimmt hat
- IP-Adresse oder andere Identifikationsmerkmale (bei webbasiertem Opt-in)
- Hinweis auf Widerrufsmöglichkeit
SendSeven speichert diese Metadaten automatisch pro Kontakt im Kontaktprofil. Sie können sie jederzeit als Nachweis exportieren.
Widerruf und Opt-out
Der Widerruf muss so einfach sein wie die Einwilligung (Art. 7 Abs. 3 DSGVO). Für WhatsApp: Fügen Sie am Ende jeder Broadcast-Nachricht einen klaren Opt-out-Hinweis ein: „Keine weiteren Nachrichten? Antworten Sie mit STOP.“ SendSeven verarbeitet STOP-Nachrichten automatisch und entfernt den Kontakt aus der aktiven Broadcast-Liste.
AGG-Konformität bei automatisierten Nachrichten
Das Allgemeine Gleichbehandlungsgesetz gilt auch für automatisierte Recruiting-Kommunikation. Wer einen KI-Chatbot oder automatisierte Kampagnen einsetzt, muss sicherstellen, dass die Systeme keine diskriminierenden Muster reproduzieren.
Verbotene Kriterien nach AGG § 1
Automatisierte Nachrichten und Selektionslogiken dürfen nicht auf folgenden Merkmalen basieren:
- Alter: kein Ausschluss von Kandidaten über oder unter einem bestimmten Alter aus Kampagnen-Segmenten
- Geschlecht: keine geschlechterspezifischen Stellenformulierungen in Templates
- Herkunft / Nationalität: keine Filterung nach Herkunftsland bei Kontaktaufnahme
- Religion oder Weltanschauung
- Behinderung
- Sexuelle Identität
Praktische Regeln für Messaging-Templates
- Keine Altersfilter in Kampagnen-Segmentierungen (z. B. keine Kampagne nur an Kandidaten unter 35)
- Genderneutrale Ansprache in WhatsApp-Templates: „Hallo [Vorname]“ statt genusgebundener Formulierungen
- Einheitliche Template-Versionen für alle Zielgruppen. Keine separate „Senioren-Variante“ mit anderen Inhalten
- Dokumentation der Selektionslogik: Warum werden bestimmte Kandidaten angeschrieben, andere nicht? Die Kriterien müssen AGG-konform und nachvollziehbar sein.
Wenn KI selektiert: Menschliches Review-Recht
Falls Ihr System KI-gestützte Vorschläge zur Kandidatenauswahl macht (z. B. „Diese 50 Kandidaten aus dem Talent Pool passen am besten“), gilt Art. 22 DSGVO, wenn diese Vorschläge unmittelbar zu Kontaktaufnahmen führen. In diesem Fall muss ein Mensch die finale Entscheidung treffen. Nicht das System. Dokumentieren Sie das Review in Ihrem Prozess.
AVV mit dem Messaging-Dienstleister
Wer personenbezogene Daten durch einen externen Dienstleister verarbeiten lässt, braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Das gilt für jeden Messaging-Dienstleister, der Kandidatendaten berührt.
Was ein AVV enthalten muss
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Art der personenbezogenen Daten (z. B. Name, Telefonnummer, Gesprächsverlauf)
- Kategorien betroffener Personen (z. B. Bewerber, Talent-Pool-Mitglieder)
- Pflichten und Rechte des Verantwortlichen
- Technisch-organisatorische Maßnahmen (TOMs)
- Unterauftragsverarbeiter (Sub-Processors) mit Zustimmungspflicht
- Lösch- und Rückgabepflichten nach Vertragsende
SendSeven als Auftragsverarbeiter
SendSeven verarbeitet Kandidatendaten ausschließlich in Ihrem Auftrag und nach Ihren Weisungen. Der AVV ist standardmäßig Bestandteil des Vertrags. Zentrale Eckpunkte:
- Serverstandort: EU (Google Cloud) · KI in Frankfurt (Vertex AI)
- Datenverschlüsselung: At rest und in transit
- Sub-Processors: Liste aller Unterauftragsverarbeiter verfügbar auf Anfrage
- Löschung: Auf Anfrage oder nach Vertragsende vollständige Datenlöschung
10-Punkte-Checkliste: DSGVO-konformes Recruiting-Messaging

- Rechtsgrundlage dokumentiert: Für jeden Kommunikationstyp (laufender Prozess, Talent Pool, Outreach) ist die anwendbare Rechtsgrundlage festgelegt und dokumentiert.
- Opt-in bei Bewerbung eingeholt: Das Bewerbungsformular enthält eine freiwillige, nicht vorausgefüllte Einwilligungsoption für Messaging-Kanäle.
- Opt-in bei Absage angeboten: Die Absage-E-Mail enthält ein optionales Angebot zur Talent-Pool-Aufnahme mit Kanal-Wahl.
- Double-Opt-in für WhatsApp und SMS: Einwilligungen werden durch eine Bestätigungsnachricht verifiziert und mit Zeitstempel gespeichert.
- Löschfristen implementiert: Abgelehnte Bewerber ohne Opt-in werden 6 Monate nach Absage gelöscht oder anonymisiert.
- Opt-out in jeder Kampagnennachricht: Jede Broadcast-Nachricht enthält einen klaren STOP-Hinweis. STOP-Antworten werden automatisch verarbeitet.
- Datenschutzerklärung aktuell: Ihre Datenschutzerklärung erwähnt Messaging-Kanäle, Zweck der Verarbeitung und Aufbewahrungsdauer für Bewerberdaten.
- AGG-konforme Templates: Alle automatisierten Nachrichten-Templates wurden auf diskriminierende Kriterien geprüft. Genderneutrale Ansprache ist Standard.
- AVV abgeschlossen: Mit SendSeven (und ggf. weiteren Dienstleistern) liegt ein vollständiger, aktueller AVV vor.
- Auskunfts- und Löschanfragen prozessiert: Ihr Team weiß, wie es auf Auskunftsanfragen nach Art. 15 DSGVO und Löschungsanfragen nach Art. 17 DSGVO reagiert, inklusive der Chat-Verläufe auf Anfrage bereitstellen.
Fazit
DSGVO-konformes Recruiting-Messaging ist kein bürokratisches Hindernis – es ist die Basis für eine vertrauensvolle Kandidatenbeziehung. Wer transparent kommuniziert, Einwilligungen sauber dokumentiert und Löschfristen einhält, hat nicht nur weniger Compliance-Risiko. Er baut auch ein Employer Brand auf, das für Kandidaten glaubwürdig ist.
Die technische Umsetzung mit SendSeven ist überschaubar: Opt-in-Formulare, Doppelbestätigung per Messaging, automatische Opt-out-Verarbeitung und vollständige Gesprächsverläufe pro Kontakt im Unified Inbox sind integriert. Die 10-Punkte-Checkliste oben gibt Ihnen einen Einstiegspunkt für das nächste interne Compliance-Review.
Weiterführende Artikel aus dem Recruiting-Cluster:
- Talent Pool reaktivieren: Schlafende Kandidaten zurückgewinnen
- KI-Chatbot im Recruiting: Bewerber-FAQ automatisieren
- Messaging im Recruiting: der vollständige DACH-Leitfaden 2026
Häufig gestellte Fragen
Brauche ich für jeden WhatsApp-Kontakt im Recruiting einen AVV?
Sie brauchen einen AVV mit dem Dienstleister, der die WhatsApp-Nachrichten versendet: also mit SendSeven. Nicht mit jedem einzelnen Kandidaten. Der AVV regelt das Verhältnis zwischen Ihnen (Verantwortlicher) und SendSeven (Auftragsverarbeiter). Mit Kandidaten hingegen regeln Sie die Datenverarbeitung über die Datenschutzerklärung und die Einwilligung.
Darf ich Kandidaten aus LinkedIn oder Xing direkt per WhatsApp anschreiben?
Grundsätzlich nicht ohne Einwilligung. Eine Kontaktaufnahme per WhatsApp setzt voraus, dass Sie die Mobilnummer des Kandidaten haben und er der Kontaktaufnahme über diesen Kanal zugestimmt hat. Wenn Sie die Nummer aus einem beruflichen Kontext haben (z. B. Visitenkarte auf einer Messe), ist das berechtigte Interesse in sehr engen Grenzen denkbar, erfordert aber eine dokumentierte Interessenabwägung (Legitimate Interest Assessment, LIA).
Was passiert, wenn ein Kandidat seine Einwilligung widerruft?
Sie müssen die weitere Kommunikation über den betroffenen Kanal sofort einstellen. Das gilt für WhatsApp, SMS und alle anderen Messaging-Kanäle. Eine Einwilligung, die auf Art. 6(1)(a) gestützt war, entfällt vollständig. Die bisher auf dieser Grundlage erhobenen Daten müssen gelöscht werden, sofern keine andere Rechtsgrundlage besteht (z. B. laufende Geschäftsbeziehung).
Ist die 6-Monats-Frist nach Absage Pflicht oder Empfehlung?
Sie ist keine gesetzliche Pflicht im wortwörtlichen Sinne, aber der empfohlene Standard der meisten deutschen Datenschutzbehörden (z. B. BayLDA, LDA Brandenburg) und eine gut etablierte Praxis zur AGG-Absicherung. Kürzere Fristen sind möglich, wenn Sie kein Diskriminierungsrisiko sehen. Das muss dann mit einer internen Risikoabwägung begründet sein. Längere Fristen ohne Opt-in sind rechtlich problematisch.
Brauche ich einen Datenschutzbeauftragten für Recruiting-Messaging?
Das hängt von der Unternehmensgröße und dem Umfang der Datenverarbeitung ab. Verarbeiten Sie regelmäßig personenbezogene Daten von mehr als 20 Personen (als Faustregel: mehr als 20 Mitarbeitende), ist ein betrieblicher Datenschutzbeauftragter nach DSGVO Art. 37 und BDSG § 38 verpflichtend. Für Personalvermittlungen, die berufsmäßig Bewerberdaten verarbeiten, ist das in aller Regel der Fall.