Brauche ich für Online-Assessments eine Einwilligung der Bewerber?

Die Einwilligung ist eine von mehreren möglichen Rechtsgrundlagen. In den meisten Fällen kann die Verarbeitung auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden (vorvertragliche Maßnahmen), wenn der Test zur Beurteilung der Eignung für die konkrete Stelle genutzt wird. Eine Einwilligungserklärung ist zusätzlich empfehlenswert, insbesondere bei Persönlichkeitstests.

Wie lange dürfen Bewerberdaten gespeichert werden?

Für abgelehnte Bewerber gilt üblicherweise eine Frist von 6 Monaten nach Absage (Schutz vor AGG-Klagen). Für eingestellte Mitarbeiter werden die Daten Teil der Personalakte. Testprotokolle und Antworten sollten spätestens nach 6 Monaten gelöscht werden, es sei denn, es bestehen berechtigte Interessen oder gesetzliche Aufbewahrungspflichten.

Was ist ein Auftragsverarbeitungsvertrag (AVV) und brauche ich einen?

Ein AVV ist ein Vertrag zwischen Ihrem Unternehmen (Verantwortlicher) und dem Software-Anbieter (Auftragsverarbeiter), der regelt, wie Ihre Daten verarbeitet werden dürfen. Er ist gesetzlich vorgeschrieben (Art. 28 DSGVO), wenn Sie personenbezogene Daten an einen Dienstleister übermitteln — also immer, wenn Sie eine Cloud-basierte Assessment-Software nutzen.

Darf ich Testergebnisse in KI-Systeme einspeisen?

Nur mit expliziter Einwilligung und wenn die KI-Verarbeitung transparent kommuniziert wird. Art. 22 DSGVO schränkt zudem automatisierte Entscheidungen mit rechtlicher Wirkung ein — ein Test-Score als einziges Auswahlkriterium ohne menschliche Kontrolle wäre problematisch.

Was passiert, wenn ein Bewerber Auskunft über seine Testdaten verlangt?

Sie sind verpflichtet, innerhalb von 30 Tagen Auskunft zu erteilen (Art. 15 DSGVO): Welche Daten, zu welchem Zweck, wie lange gespeichert. Außerdem hat der Bewerber ein Recht auf Kopie seiner Antworten und des Ergebnisses. Gute Assessment-Software sollte diese Exporte ermöglichen.

Ratgeber · Datenschutz & Compliance

DSGVO und Online-Assessments — die Checkliste.

Bewerberdaten sind besonders schützenswert. Was muss eine DSGVO-konforme Assessment-Software leisten — und worüber sehen viele Unternehmen hinweg?

Lesezeit: ca. 7 Minuten · Zielgruppe: HR-Manager, Datenschutzbeauftragte, Geschäftsführer

Kurze Antwort (TL;DR)

DSGVO-konforme Assessment-Software muss vier Kriterien erfüllen: EU-Serverstandort, unterschriebener AVV mit dem Anbieter, Datensparsamkeit (nur erheben, was nötig ist) und technische Umsetzung der Betroffenenrechte (Auskunft, Löschung, Export). Fehlt eines dieser vier Elemente, haften Sie als verantwortliche Stelle.

Warum Bewerberdaten besonders heikel sind

Online-Assessments sind kein normales SaaS-Tool

Im Gegensatz zu Projektmanagement- oder CRM-Tools verarbeiten Assessment-Plattformen personenbezogene Daten von Personen, die noch kein Vertragsverhältnis mit Ihnen haben. Bewerber befinden sich in einer Abhängigkeitssituation — was das Datenschutzrecht besonders streng werden lässt.

Verschärft wird das durch das Allgemeine Gleichbehandlungsgesetz (AGG): Testergebnisse könnten im Streitfall als Beweismittel relevant werden — was Aufbewahrungsfristen und Dokumentationspflichten nach sich zieht.

20 Mio €

Max. Bußgeld bei DSGVO-Verstoß

oder 4 % des weltweiten Umsatzes

6 Monate

Empfohlene Speicherfrist

für abgelehnte Bewerber-Daten

30 Tage

Frist für Auskunftserteilung

auf Antrag nach Art. 15 DSGVO

Die Checkliste

Was DSGVO-konforme Assessment-Software leisten muss

Prüfen Sie jeden Anbieter anhand dieser vier Kategorien. Grün = erforderlich, Rot = Ausschlusskriterium.

Serverstandort & Datenübertragung

✓Server ausschließlich innerhalb der EU (vorzugsweise Deutschland oder Frankfurt)
✓Kein unkontrollierter Datentransfer in Drittländer (USA, Großbritannien)
✓Subunternehmer (CDN, E-Mail-Dienste) ebenfalls DSGVO-konform
✗Serverstandort in den USA ohne Standardvertragsklauseln oder Adequacy Decision — Risiko

Auftragsverarbeitungsvertrag (AVV)

✓AVV wird standardmäßig vom Anbieter bereitgestellt
✓Klare Regelung zu Subunternehmern und deren Standorten
✓Löschpflichten und -fristen vertraglich geregelt
✗Kein AVV angeboten oder nur auf Anfrage — kritisch

Datensparsamkeit & Zweckbindung

✓Nur die für die Eignungsbeurteilung notwendigen Daten werden erhoben
✓Keine Weitergabe der Kandidatendaten an Dritte für Werbezwecke
✓Automatische Löschung nach konfigurierbaren Fristen
✗Testdaten werden für Training von KI-Modellen genutzt ohne Einwilligung — unzulässig

Betroffenenrechte

✓Exportfunktion für Bewerber-Rohdaten (Auskunftsrecht Art. 15 DSGVO)
✓Löschfunktion für einzelne Kandidaten (Recht auf Vergessenwerden)
✓Datenschutzerklärung im Test sichtbar und verlinkt
✗Keine Möglichkeit, einzelne Kandidaten gezielt zu löschen — rechtlich problematisch

trønso & DSGVO

DSGVO-konform von Anfang an

trønso wurde von Grund auf für den deutschen Markt entwickelt. Server in Frankfurt (EU), AVV auf Anfrage, automatische Löschfristen und Kandidaten-Datexport out of the box.

Kostenlos starten

Server in Frankfurt (EU) AVV verfügbar Löschfunktion inklusive

Häufige Fragen

DSGVO-Fragen zu Online-Assessments

Rechtlicher Hinweis: Dieser Ratgeber dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für verbindliche Einschätzungen zu Ihrem konkreten Fall wenden Sie sich an einen Datenschutzbeauftragten oder Fachanwalt.

Rechtssicher testen — ohne Kompromisse.

Kostenloser Start, EU-Server, DSGVO-konform out of the box.

Kostenlos starten