Interne Bewerbung & DSGVO Muss der Vorgesetzte informiert werden

Interne Bewerbung DSGVO: Muss der Vorgesetzte informiert werden?

1. Einleitung

Interne Bewerbung DSGVO: Darf mein Chef überhaupt erfahren, dass ich mich intern beworben habe? Für viele Mitarbeiterinnen und Mitarbeiter ist das eine entscheidende Frage. Eine interne Bewerbung sollte eine Chance auf Entwicklung und Karriere sein – und kein Risiko, das Vertrauen oder sogar den Job zu verlieren. Doch die Realität sieht oft anders aus: Informationen gelangen über Netzwerke an den aktuellen Vorgesetzten und werden dort nicht selten gegen den Bewerber verwendet. Genau hier greift die Interne Bewerbung DSGVO – und stellt klare Regeln auf.

2. Rechtliche Grundlagen

Die DSGVO behandelt jede Information über eine interne Bewerbung als personenbezogenes Datum (Art. 4 Nr. 1 DSGVO). Das bedeutet: Jede Verarbeitung – und damit auch die Weitergabe an den Vorgesetzten – benötigt eine Rechtsgrundlage (Art. 6 DSGVO).

  • Art. 5 Abs. 1 lit. b DSGVO – Zweckbindung: Die Daten dürfen nur für den Bewerbungsprozess genutzt werden. Eine Weitergabe an den alten Chef fällt nicht darunter.
  • Art. 6 Abs. 1 DSGVO – Rechtsgrundlagen: Möglich wären nur Einwilligung (lit. a), Vertragserfüllung (lit. b) oder berechtigtes Interesse (lit. f). In der Praxis ist eine Einwilligung im Arbeitsverhältnis kaum freiwillig und ein berechtigtes Interesse schwer nachweisbar.
  • § 26 BDSG (Deutschland): Verarbeitung von Beschäftigtendaten nur, wenn erforderlich. → Den alten Vorgesetzten zu informieren ist nicht erforderlich.
  • § 1 und § 11 DSG (Österreich): Grundrecht auf Datenschutz, Verarbeitung nur, wenn zwingend notwendig. Auch hier gilt: Eine automatische Info an den Vorgesetzten ist nicht gedeckt.

👉 Fazit: Eine interne Bewerbung DSGVO-konform bleibt vertraulich. Der Vorgesetzte darf nicht ohne Zustimmung oder zwingende Gründe informiert werden.

Weiterlesen: 💥 Wenn Gossip zur Compliance-Falle wird: Was ein Bewerber-Beispiel über Unternehmenskultur und DSGVO verrät

3. Praxisbeispiel: Annas interne Bewerbung

Stellen wir uns die Situation vor: Anna bewirbt sich intern auf eine neue Stelle. Sie ist motiviert, sieht ihre Chance auf Weiterentwicklung. Doch ihr aktueller Chef erfährt über „informelle Kanäle“ von der Bewerbung. Statt sie zu unterstützen, sucht er das Gespräch mit dem zukünftigen Vorgesetzten – und verhindert ihre Übernahme.

Das eigentliche Ziel des Datenschutzes, Anna zu schützen, wird damit ins Gegenteil verkehrt. Informationen werden zur Währung im Netzwerk. Macht und Kontrolle stehen über Entwicklung und Fairness. Für Anna endet der Schritt nach vorne im Karriereknick – und schließlich im Abschied vom Unternehmen.

Weiterlesen: 💥 CSRD, ESG, Compliance & DSGVO: Wenn Unternehmenskultur zum Prüfpunkt wird

4. Folgen für Unternehmen

DSGVO-Folgen

  • Unrechtmäßige Weitergabe personenbezogener Daten.
  • Verstöße gegen Art. 5 und 6 DSGVO sowie § 26 BDSG.
  • Bußgelder durch Aufsichtsbehörden sind möglich.

Arbeitsrechtliche Folgen

  • Schadensersatzansprüche nach Art. 82 DSGVO.
  • Klage wegen Benachteiligung oder Diskriminierung.
  • Compliance-Verstöße der Vorgesetzten können bis zur Kündigung führen.

Organisational

  • Vertrauensverlust bei Mitarbeitenden.
  • Innere Kündigung und Abwanderung von Talenten.
  • Reputationsschäden, die langfristig die Wettbewerbsfähigkeit gefährden.

5. Handlungsempfehlungen für Unternehmen

Damit eine interne Bewerbung DSGVO-konform bleibt, sollten Unternehmen klare Regeln schaffen:

  • Vertraulichkeit sicherstellen: Bewerbungsdaten nur an HR und die Zielabteilung weitergeben.
  • Prozessrichtlinien: Der aktuelle Vorgesetzte wird erst dann eingebunden, wenn die Übernahme entschieden ist.
  • Sensibilisierung: Führungskräfte und HR-Mitarbeiter regelmäßig zu Datenschutz und Compliance schulen.
  • Compliance-Verankerung: Datenschutz nicht als Formalität, sondern als Teil einer vertrauensvollen Unternehmenskultur etablieren.

Weiterlesen: 💥 Wenn Gossip zur Compliance-Falle wird: Was ein Bewerber-Beispiel über Unternehmenskultur und DSGVO verrät

6. Tipps für Bewerber:innen

Auch Bewerber:innen können selbst aktiv werden:

  • Nachfragen: Bereits im Gespräch bei HR nach der Handhabung mit internen Bewerbungen fragen.
  • Schriftlich absichern: Um Vertraulichkeit bitten und diese bestätigen lassen.
  • Unterstützung suchen: Betriebsrat, Datenschutzbeauftragte oder Rechtsbeistand einschalten, wenn Zweifel bestehen.

So behalten Bewerber:innen ein Stück Kontrolle über ihre sensiblen Daten.

7. Fazit & Call-to-Action

Eine interne Bewerbung DSGVO-konform sollte ein Schritt nach vorne sein – kein Risiko, alles zu verlieren. Doch solange interne Informationen als Macht- und Druckmittel missbraucht werden, entsteht Schaden für Mitarbeiter:innen und Unternehmen gleichermaßen.

👉 Unternehmen müssen ihre Prozesse dringend überprüfen – und Bewerber:innen sollten ihre Rechte kennen.

Frage an euch: Wie läuft es in euren Unternehmen? Bleiben interne Bewerbungen vertraulich – oder werden sie doch zur inoffiziellen Währung im Machtspiel?

Mitdiskutieren auf LinkedIn:

Gossip oder Compliance-Falle

💥 Wenn Gossip zur Compliance-Falle wird: Was ein Bewerber-Beispiel über Unternehmenskultur und DSGVO verrät

Weiter zu „Gossip als Compliance-Risiko“

Im Trend

Warum viele „KI-Experten“ falsch liegen – die 4 größten Irrtümer
Toxische Arbeitskultur – warum viele schweigen (und ich nicht mehr)
Dritte Warnung an Merz
Konfliktlösung im Unternehmen: Wie Führungskräfte wirksam Grenzverletzungen erkennen und stoppen