Recruiting und Talent Acquisition
Active Sourcing Talent-Pool-Wiederansprache (DSGVO-Aufbewahrungsfristen, Löschkonzept)
KI-gestützte Reaktivierungs-Nachricht an Talent-Pool-Kandidat:innen aus früheren Bewerbungs- oder Sourcing-Kontakten — unter strikter Beachtung der HmbBfDI-Aufbewahrungsfrist (max 6 Monate ohne aktive Einwilligung) und mit gekoppeltem Lösch-Audit-Workflow. anymize entfernt Talent-Pool-Datensätze (Bewerber-Name, Interview-Bewertung, Hiring-Manager-Notiz) vor LLM-Aufruf.
Schwierigkeit: Fortgeschritten · Datenklasse: Beschäftigtendaten · Letztes Review:
Zur Orientierung gedacht. Die personalrechtliche Würdigung im Einzelfall bleibt selbstverständlich bei Ihnen — KI-Outputs sind vor jeder Verwendung zu prüfen. Mehr dazu am Ende.
Anwendungsbereich
Worum geht es hier?
Der Talent-Pool ist im DE-Recruiting strukturell die rechtlich heikelste Sourcing-Quelle — Kandidat:innen-Daten lagern oft jahrelang ohne saubere Einwilligungs-Basis. HmbBfDI Positionspapier 06.06.2024 hat explizit zu Talent-Pool-Aufbewahrung Stellung bezogen. Dieser UC vertieft den Master-UC für den Talent-Pool-Sub-Workflow: Reaktivierungs-Nachricht UND Lösch-Audit.
Für wen passt das?
Zielgruppe und Kontext
- Rolle
- Talent Acquisition Manager, Recruiting Operations (CRM-Owner), Active Sourcer, HR-Compliance-Officer, Datenschutzbeauftragte/r (Co-Verantwortung).
- Seniorität
- Fortgeschritten — DSGVO Art. 5 (Speicherbegrenzung), Art. 14 (Informationspflicht), Art. 17 (Löschung) und HmbBfDI-Praxis muss sitzen.
- Unternehmensgröße
- Mittelstand bis Konzern mit aktivem CRM/ATS-Talent-Pool (Personio, SmartRecruiters, Workday, SuccessFactors).
- Spezifische Kontexte
- Boomerang-Recruiting (Ex-Mitarbeiter), „Silver-Medal”-Kandidat:innen (zweitplatziert), Pipeline-Kandidat:innen aus Engpass-Suchen (MINT, Pflege, Tech).
Die Situation in der Personalabteilung
So bringen Sie Tempo und Sorgfalt zusammen
DSGVO-Realität im Talent-Pool: HmbBfDI-Positionspapier 06.06.2024: ohne aktive Einwilligung dürfen Bewerberdaten typisch max. 6 Monate gespeichert werden; mit Einwilligung längstens 2 Jahre. DSGVO Art. 5 Abs. 1 lit. e (Speicherbegrenzung) als Grundprinzip. DSGVO Art. 17 (Löschung) jederzeit verlangbar. § 26 BDSG greift nach abgeschlossenem Bewerbungsverfahren idR nicht mehr. AGG § 22 Beweislastumkehr: Talent-Pool-Daten können als Indiz herhalten. Marktrealität: Viele DE-Unternehmen haben Talent-Pools mit 5.000–50.000 Datensätzen, davon nach sauberer DSGVO-Prüfung nur 10–30 % rechtssicher aktiv.
Was Sie davon haben
Zeit, Wert, Vertraulichkeit
Zeit pro Reaktivierungs-Kampagne
1–3 Std
Statt 4–8 Stunden manuelles Drafting + Pool-Sichtung.
Zeit pro Quartals-Lösch-Audit
4–8 Std
Statt 20–40 Stunden manuelles Durchgehen. HR-Stunde 50–80 EUR.
Bußgeld-Vermeidung
5–50 k EUR
DSGVO-Verstoß bei nicht-gelöschten Pool-Daten kann nach Art. 83 DSGVO bis zu 20 Mio. EUR kosten; realistisch 5.000–50.000 EUR + Reputationsschaden.
Erkennungsrate
>95 %
Talent-Pool-Datensätze inkl. Interview-Bewertungen und Hiring-Manager-Notizen werden zuverlässig erkannt.
So gehen Sie vor
Der Workflow Schritt für Schritt
Talent-Pool-Inventur: Datensätze segmentieren nach (a) aktive Einwilligung vorhanden, (b) abgeschlossenes Bewerbungsverfahren ohne Einwilligung (>6 Monate alt = löschen).
Mensch (Recruiting Ops + DSB)
DSGVO Art. 5 Speicherbegrenzung
Lösch-Audit (KI-unterstützt): KI klassifiziert Datensätze als „löschen/aufbewahren/Einwilligung erneuern”. Mensch validiert.
KI + Mensch
DSGVO Art. 17
Datenklassifikation Reaktivierungs-Konzept: Pool-Kandidat:innen-Profile = Klasse A (eigene Bewerberdaten); Hiring-Manager-Notizen, frühere Interview-Bewertungen = Klasse A.
Mensch
§ 26 BDSG
Pseudonymisierung mit anymize: Kandidat:innen-Name → [[Bewerber-…]], frühere Interview-Bewertung → [[Bewertung-…]], Hiring-Manager → [[HiringMgr-…]].
anymize
DSGVO Art. 28
KI-Generierung Reaktivierungs-Nachricht (E-Mail, 100–180 Wörter): Hook (Bezug auf frühere Bewerbung/Sondierung), neue Position, Gehaltsband, Einwilligungs-Erneuerung als CTA.
Frontier-KI
Personalisierung · Conversion
KI fügt DSGVO-Block ein: Speicherbegrenzung, Einwilligungs-Status, Widerspruchsrecht, Lösch-Option.
Frontier-KI
DSGVO Art. 14, 17, 21
Rück-Substitution Platzhalter; Versand-Liste zusammenstellen (nur Datensätze mit gültiger Rechtsgrundlage).
Mensch + anymize
Re-Identifikation lokal
Menschliche Letztprüfung: Bezug-Halluzination, AGG-Tonalität, Einwilligungs-Status doppelt validiert. Manueller Versand via E-Mail oder ATS-CRM-Funktion. Audit-Trail.
Mensch
EU AI Act Art. 26 · HmbBfDI
Reaktions-Handling: Bei „Ja, weiter aktiv” → Einwilligung erneuern; bei „Bitte löschen” → sofortige Löschung (Art. 17); bei No-Response nach 14 Tagen → Standard-Lösch-Workflow. Quartals-Reporting an DSB.
Mensch + System
DSGVO-Pflicht · Rechenschaftspflicht
Womit Sie arbeiten
So setzen Sie anymize konkret ein
Was anymize tut
- Erkennt Talent-Pool-Datensätze (Kandidat:innen-Name, frühere Bewerbung, Interview-Bewertung, Hiring-Manager-Notiz) mit über 95 % Genauigkeit.
- Bidirektionale Anonymisierung mit Re-Identifikation lokal.
- Daten in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO.
- Interview-Bewertungen sind besonders sensibel — werden vollständig erkannt und entfernt.
Was Sie als Recruiting Ops tun
- Talent-Pool-Inventur durchführen: Datensätze mit/ohne Einwilligung segmentieren.
- Lösch-Audit-Workflow quartalsweise mit DSB-Spot-Check.
- Einwilligungs-Status doppelt validieren; manueller Versand (keine Massenautomation).
- Bei Lösch-Aufforderung sofortige Löschung (Art. 17 DSGVO); Audit-Trail revisionssicher.
Daten-Input
Talent-Pool-Datensatz mit Einwilligungs-Status + Speicherdauer-Counter; frühere Bewerbung, Interview-Bewertung, Hiring-Manager-Notiz; neue Position.
Output-Kontrolle
Reaktivierungs-E-Mail (Betreff ≤60 Zeichen + Hauptteil 100–180 Wörter) mit Hook, neuer Position, CTA „Möchten Sie weiter im Talent-Pool bleiben?” (Ja/Nein-Buttons), DSGVO-Block (Speicherdauer, Widerspruch, Löschung, DSB-Kontakt).
Freigabeprozess
Recruiter → Recruiting Ops → DSB-Spot-Check bei Senior-Hires oder Engpass-Kampagnen. Manueller Versand. Bei Widerspruch sofortige Löschung.
Die KI-Anweisung
Prompt zum Kopieren
So nutzen Sie diesen Prompt:
1. Talent-Pool-Datensatz + Einwilligungs-Status + neue Position in anymize einfügen.
2. Prompt anhängen.
3. KI-Output mit Bezug-Halluzinations-Check und AGG-Tonalität prüfen.
4. Einwilligungs-Status doppelt validieren; manueller Versand; bei Lösch-Wunsch sofortige Löschung (Art. 17).
# Context (C)
Rechtsstand: <heutiges Datum>. Du draftest eine Reaktivierungs-E-Mail an
eine Talent-Pool-Kandidatin/einen Talent-Pool-Kandidaten in Deutschland.
Aufbewahrungsfrist nach HmbBfDI: max 6 Monate ohne Einwilligung, längstens
2 Jahre mit Einwilligung. Input ist pseudonymisiert.
# Role (R)
Du agierst als Talent Acquisition Manager mit DSGVO-Speicherbegrenzungs-
Kenntnis und AGG-Sensibilität. Du kennst HmbBfDI Positionspapier 06.06.2024
und BfDI FAQ.
# Action (A)
1. Hook (1–2 Sätze): höflicher Bezug auf früheren Kontakt (Bewerbung,
Sondierung, Interview).
2. Neue Position vorstellen (2–3 Sätze): Rolle, Standort, Gehaltsband,
Besonderheit.
3. Einwilligungs-Erneuerung als CTA: „Möchten Sie weiter im Talent-Pool
bleiben?” mit Ja/Nein-Optionen.
4. DSGVO-Block: Speicherbegrenzung erklären, Widerspruchsrecht Art. 21,
Lösch-Option Art. 17, DSB-Kontakt.
5. Tonalität: respektvoll, keine Hard-Sell-Sprache, keine AGG-relevanten
Formulierungen.
# Format (F)
- E-Mail-Betreff (≤60 Zeichen)
- Anrede + Hauptteil (100–180 Wörter)
- DSGVO-Block (separat, 30–50 Wörter)
- 2 CTA-Buttons (Text): „Ja, ich bleibe im Talent-Pool” / „Bitte löschen
Sie meine Daten”
- Unsicherheiten: Präfix „Nicht aus Profil belegt:”
# Target Audience (T)
Frühere Bewerber:innen oder Sondierungs-Kontakte; teils 6–24 Monate zurück.
Erwartung: Respekt, klare Wahlmöglichkeit, kein Druck.So sieht der Input aus
Pseudonymisierter Eingabetext
Talent-Pool-Eintrag:
Datensatz-ID: [[Bewerber-a3f9]]
Letzte Aktivität: 14 Monate her
Einwilligung: bei Bewerbung 2024 erteilt (Speicherung bis max 24 Monate)
Frühere Position-Bewerbung: Senior Data Engineer
Frühere Bewertung: [[Bewertung-b2e7]] „Silver Medal — sehr stark, hat aber
Konkurrenzangebot angenommen”
Hiring Manager damals: [[HiringMgr-c4d1]]
Neue Position:
Lead Data Engineer (Step-up zur damaligen Bewerbung)
Standort: München, hybrid
Gehaltsband: 95.000–115.000 EUR/Jahr
Besonderheit: Tech-Lead-Position, 4-Personen-TeamSo liefert anymize zurück
Der KI-Entwurf
## Betreff
Neue Lead-Data-Engineer-Position — Erinnerung an Ihren Talent-Pool-Status
## E-Mail (152 Wörter)
Hallo [Vorname],
vor rund 14 Monaten haben wir Sie für eine Senior-Data-Engineer-Position
im Auswahlprozess sehr geschätzt — Sie hatten sich damals für ein anderes
Angebot entschieden, was wir respektiert haben.
Inzwischen haben wir eine **Lead-Data-Engineer-Position** ausgeschrieben
(München, hybrid, 95–115k, Tech-Lead-Verantwortung für ein 4-Personen-Team)
— und wollten Ihnen die Gelegenheit geben, sich zu melden, falls das Profil
passt.
Bevor wir Sie weiter ansprechen, möchten wir Sie fragen: **Möchten Sie
weiter in unserem Talent-Pool bleiben?**
[ Ja, ich bleibe im Talent-Pool ] [ Bitte löschen Sie meine Daten ]
Beste Grüße
[Recruiter-Name]
---
**Datenschutz-Hinweis:** Ihre Daten sind seit Ihrer Bewerbung 2024 in
unserem Talent-Pool gespeichert (Rechtsgrundlage Art. 6 Abs. 1 lit. a
DSGVO, Einwilligung). Speicherung längstens 24 Monate. Sie können jederzeit
Widerspruch (Art. 21 DSGVO) einlegen oder Löschung (Art. 17 DSGVO) verlangen.
Kontakt DSB: [E-Mail].Was das HR-Recht verlangt
Pflichten — und wie anymize sie abdeckt
HmbBfDI Positionspapier 06.06.2024 (SRC-0249)
Max 6 Monate ohne Einwilligung; mit Einwilligung längstens 24 Monate als Faustregel.
DSGVO Art. 5, 17, 21 — Speicherbegrenzung und Löschung
Grundprinzip; nicht „so lange wie möglich speichern”. Nach Widerspruch oder Frist-Ablauf unverzüglich löschen.
§ 26 BDSG (SRC-0215)
Greift nach abgeschlossenem Bewerbungsverfahren idR nicht mehr; Art. 6 lit. a/f DSGVO als Alternativ-Anker.
AGG § 15 (4) + § 22 (SRC-0217)
2-Monats-Klage-Frist; Beweislastumkehr — Talent-Pool-Daten können Indiz sein. BAG 8 AZR 74/25 als Mahnung.
EuGH SCHUFA + Dun & Bradstreet (SRC-0266/0267)
Scoring/Profiling-Transparenz auch im Talent-Pool.
Datenschutz und Vertraulichkeit
So funktioniert das mit anymize
Talent-Pool-Datensätze (Name, frühere Bewerbung, Interview-Bewertung, Hiring-Manager-Notiz) sieht der KI-Anbieter nicht — anymize ersetzt sie durch Platzhalter. Rechtsgrundlage Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, sofern bei Bewerbung erteilt) oder lit. f (berechtigtes Interesse — nur für Initial-Reaktivierungs-Anfrage). Art. 28 DSGVO: AVV mit ATS-Anbieter, LLM-Provider, anymize. Verarbeitung in deutschen Rechenzentren (Hetzner).
Was anymize konkret leistet
- Erkennt Talent-Pool-Datensätze (Name, frühere Bewerbung, Interview-Bewertung, Hiring-Manager-Notiz) mit über 95 % Genauigkeit.
- Vollständig pseudonymisieren vor LLM-Aufruf; Re-Identifikation lokal.
- Daten in deutschen Rechenzentren (Hetzner). AVV nach Art. 28 DSGVO.
- Alternative Compliance-Ansätze: ATS-eigene KI-Funktionen (Personio AI, SmartRecruiters Winston) mit bestehendem AVV; Azure OpenAI Frankfurt + anymize für volle Kontrolle.
- Lösch-Audit-Workflow: ATS-eigene Reports + KI-Klassifikation für Edge-Cases.
Sicherheitscheck vor der Veröffentlichung
Was anymize liefert — was Sie souverän entscheiden
Vor Reaktivierung
- Aufbewahrungs-Audit: Datensatz hat gültige Rechtsgrundlage (Einwilligung oder Sechs-Monats-Frist nicht überschritten)?
- Pseudonymisierungs-Spot-Check; Vier-Augen bei Senior-Hires?
Nach KI-Draft
- Bezug-Halluzinations-Check (keine Falschen über frühere Bewerbung)?
- AGG-Tonalitäts-Check (keine demografischen Selektions-Hinweise)?
- DSGVO-Block vollständig (Speicherdauer, Widerspruch, Löschung, DSB)?
Versand und Reaktion
- Manueller Versand (keine Massenautomation)?
- Bei „Bitte löschen” sofortige Löschung (Art. 17)?
- Quartals-Reporting an DSB (Pool-Größe, Löschungen, Einwilligungs-Status)?
Typische Fehlermuster — und wie anymize gegensteuert
- →Reaktivierung ohne gültige Rechtsgrundlage (>6 Monate ohne Einwilligung) — HmbBfDI-Verstoß.
- →Halluzinierte frühere Bewerbungs-Inhalte — Reputations-Schaden.
- →Fehlender DSGVO-Block — Art. 14-Informationspflicht-Verstoß.
- →Massen-Versand ohne individuellen Hook — Spam-Anmutung.
- →Lösch-Aufforderung nicht sofort umgesetzt — Art. 17 DSGVO Verstoß.
Rechtsgrundlagen
Normen, Urteile, Belege
Primärnormen — Datenschutz
- Speicherbegrenzung als Grundprinzip
- Recht auf Löschung
- Widerspruchsrecht
- Informationspflicht bei nicht-direkt erhobenen Daten
- Greift nach abgeschlossenem Verfahren idR nicht mehr
- Max 6 Monate ohne Einwilligung; 24 Monate mit
- Praxis-Leitfaden
Primärnormen — Antidiskriminierung
- 2-Monats-Klage-Frist + Beweislastumkehr
- 120 k EUR Anker
- Scoring/Profiling-Transparenz
- Profiling-Transparenz
- Transparenzpflicht bei vollautomatischer Reaktivierungs-Bot-Funktion
- Behörden-Position
Studien und Praxis
- Talent-Pool-Reaktivierung Top-3-Sourcing-Quelle
- Erfahrungswerte Reaktivierungs-Conversion
Stand: · Nächste Überprüfung:
Hinweis zur Nutzung
Zur Orientierung — nicht als Ersatz für die HR-Letztverantwortung
Diese Anleitung beschreibt einen Arbeitsablauf, den Sie mit anymize umsetzen können. Sie ist zur Orientierung gedacht und ersetzt weder die personalrechtliche Würdigung im Einzelfall noch eine arbeits- oder mitbestimmungsrechtliche Prüfung. Welche Rechtsprechung einschlägig ist, wie der Sachverhalt arbeitsrechtlich zu bewerten ist, welche Entscheidungen in Ihrem konkreten Fall richtig sind — das bleibt selbstverständlich bei Ihnen und Ihrer HR-Letztverantwortung.
KI-Outputs müssen vor jeder Verwendung HR-fachlich geprüft werden. Insbesondere personenbezogene Entscheidungen (Einstellung, Beförderung, Kündigung) dürfen nicht allein auf KI-Empfehlungen gestützt werden (DSGVO Art. 22, EU AI Act Art. 26). anymize gewährleistet die Vertraulichkeit der Beschäftigtendaten gegenüber dem KI-Anbieter; die fachliche Richtigkeit und die rechtliche Verantwortung liegen in Ihrer Hand.
Jetzt starten.
14 Tage kostenlos testen.
Alle Modelle. Alle Features. Keine Kreditkarte.
Wir sind überzeugt von anymize. Und wir wissen: Bei einem KI-Werkzeug, das Mandanten-, Patienten- oder Mitarbeiter-Daten berührt, reicht ein Demo-Video nicht. Deshalb 14 Tage voller Zugang – alle Modelle, alle Features, keine Kreditkarte. Genug Zeit, um sicher zu sein, bevor du uns vertraust.
Dein KI-Arbeitsplatz wartet.