Ratgeber · Datenschutz & Compliance
DSGVO und Online-Assessments — die Checkliste.
Bewerberdaten sind besonders schützenswert. Was muss eine DSGVO-konforme Assessment-Software leisten — und worüber sehen viele Unternehmen hinweg?
Lesezeit: ca. 7 Minuten · Zielgruppe: HR-Manager, Datenschutzbeauftragte, Geschäftsführer
DSGVO-konforme Assessment-Software muss vier Kriterien erfüllen: EU-Serverstandort, unterschriebener AVV mit dem Anbieter, Datensparsamkeit (nur erheben, was nötig ist) und technische Umsetzung der Betroffenenrechte (Auskunft, Löschung, Export). Fehlt eines dieser vier Elemente, haften Sie als verantwortliche Stelle.
Warum Bewerberdaten besonders heikel sind
Online-Assessments sind kein normales SaaS-Tool
Im Gegensatz zu Projektmanagement- oder CRM-Tools verarbeiten Assessment-Plattformen personenbezogene Daten von Personen, die noch kein Vertragsverhältnis mit Ihnen haben. Bewerber befinden sich in einer Abhängigkeitssituation — was das Datenschutzrecht besonders streng werden lässt.
Verschärft wird das durch das Allgemeine Gleichbehandlungsgesetz (AGG): Testergebnisse könnten im Streitfall als Beweismittel relevant werden — was Aufbewahrungsfristen und Dokumentationspflichten nach sich zieht.
Die Checkliste
Was DSGVO-konforme Assessment-Software leisten muss
Prüfen Sie jeden Anbieter anhand dieser vier Kategorien. Grün = erforderlich, Rot = Ausschlusskriterium.
- ✓Server ausschließlich innerhalb der EU (vorzugsweise Deutschland oder Frankfurt)
- ✓Kein unkontrollierter Datentransfer in Drittländer (USA, Großbritannien)
- ✓Subunternehmer (CDN, E-Mail-Dienste) ebenfalls DSGVO-konform
- ✗Serverstandort in den USA ohne Standardvertragsklauseln oder Adequacy Decision — Risiko
- ✓AVV wird standardmäßig vom Anbieter bereitgestellt
- ✓Klare Regelung zu Subunternehmern und deren Standorten
- ✓Löschpflichten und -fristen vertraglich geregelt
- ✗Kein AVV angeboten oder nur auf Anfrage — kritisch
- ✓Nur die für die Eignungsbeurteilung notwendigen Daten werden erhoben
- ✓Keine Weitergabe der Kandidatendaten an Dritte für Werbezwecke
- ✓Automatische Löschung nach konfigurierbaren Fristen
- ✗Testdaten werden für Training von KI-Modellen genutzt ohne Einwilligung — unzulässig
- ✓Exportfunktion für Bewerber-Rohdaten (Auskunftsrecht Art. 15 DSGVO)
- ✓Löschfunktion für einzelne Kandidaten (Recht auf Vergessenwerden)
- ✓Datenschutzerklärung im Test sichtbar und verlinkt
- ✗Keine Möglichkeit, einzelne Kandidaten gezielt zu löschen — rechtlich problematisch
trønso & DSGVO
DSGVO-konform von Anfang an
trønso wurde von Grund auf für den deutschen Markt entwickelt. Server in Frankfurt (EU), AVV auf Anfrage, automatische Löschfristen und Kandidaten-Datexport out of the box.
Kostenlos startenHäufige Fragen
DSGVO-Fragen zu Online-Assessments
Rechtlicher Hinweis: Dieser Ratgeber dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für verbindliche Einschätzungen zu Ihrem konkreten Fall wenden Sie sich an einen Datenschutzbeauftragten oder Fachanwalt.
Rechtssicher testen — ohne Kompromisse.
Kostenloser Start, EU-Server, DSGVO-konform out of the box.
Kostenlos starten