HR & Recruiting: Warum Bewerbungsunterlagen nicht ins E-Mail-Postfach gehören

In vielen KMU ist es Standard: Bewerbende schicken CV und Motivationsschreiben an eine jobs@-Adresse, die HR-Verantwortliche lesen die E-Mails, leiten sie weiter, speichern Anhänge lokal ab – und irgendwann, nach Abschluss des Verfahrens, werden die Unterlagen vielleicht gelöscht. Oder auch nicht.

Das klingt harmlos, ist es aber nicht. E-Mail-Postfächer sind aus datenschutzrechtlicher Sicht problematisch: Sie sind schwer kontrollierbar, bieten keine strukturierten Löschworkflows und ermöglichen oft keinen sauberen Nachweis, wer wann Zugriff auf welche Bewerbungsunterlagen hatte.

Dabei handelt es sich bei Bewerberdaten um besonders schützenswerte Personendaten – Lebensläufe enthalten Geburtsdaten, Fotos, Gesundheitsangaben, manchmal auch Angaben zur Nationalität oder Familie.

Das Schweizer Datenschutzgesetz (DSG) gilt auch im Arbeitsverhältnis – und bereits im Recruiting-Prozess. Wer Bewerberdaten bearbeitet, muss dies zweckgebunden, verhältnismässig und mit klarer Aufbewahrungsfrist tun.

Konkret bedeutet das: Bewerbungsunterlagen dürfen nur so lange aufbewahrt werden, wie es für den Entscheid notwendig ist. Nicht berücksichtigte Kandidatinnen und Kandidaten haben grundsätzlich Anspruch auf Löschung ihrer Daten.

In einem normalen E-Mail-Postfach lässt sich das kaum systematisch umsetzen. Wer hat wann welche Mail weitergeleitet? Wurden lokale Kopien erstellt? Liegt der CV noch im Ausdruckordner auf dem Netzlaufwerk? Diese Fragen bleiben oft unbeantwortet.

E-Mail ist ein offenes Protokoll. Ohne explizite Ende-zu-Ende-Verschlüsselung (die in der Praxis kaum jemand aktiv nutzt) werden E-Mail-Inhalte im Klartext über mehrere Server transportiert. Bewerbungsunterlagen, inklusive persönlicher Daten, sind damit potenziell abfangbar.

Dazu kommt: Der Empfänger-Server wird meist von einem Cloud-Anbieter betrieben – Microsoft 365, Google Workspace oder ähnliches. Damit gelten die jeweiligen Nutzungsbedingungen und Datenschutzpraktiken dieser Anbieter, oft mit US-Cloud-Bezug.

Für Organisationen, die CLOUD-Act-Risiken minimieren wollen, ist E-Mail-basierter Bewerbungseingang damit strukturell problematisch.

Ein strukturiertes Bewerbungsformular löst mehrere dieser Probleme gleichzeitig. Bewerbende laden ihre Unterlagen direkt in einen verschlüsselten, zugriffsgeschützten Speicher hoch. HR hat ein zentrales Dashboard, keinen überfüllten Posteingang. Löschfristen lassen sich direkt am System konfigurieren.

Mit Formsly können Dateiuploads (PDF, DOCX, JPG) direkt im Formular entgegengenommen werden. Die Dateien werden in der Schweizer Infrastruktur gespeichert – nicht in einem E-Mail-Attachment-Ordner auf einem US-Cloud-Server.

Zusätzlich ermöglicht ein Formular eine strukturierte Erfassung: Stelle, auf die sich jemand bewirbt, frühestmöglicher Eintrittstermin, Gehaltsvorstellung – all das lässt sich direkt abfragen, ohne dass HR nachfassen muss.

Der praktische Unterschied zwischen Bewerbungsformular und E-Mail-Postfach zeigt sich spätestens, wenn man zehn Bewerbungen gleichzeitig bearbeitet. E-Mails müssen manuell gefiltert, sortiert und weitergeleitet werden. Formulareinreichungen stehen sofort strukturiert zur Verfügung.

Bewerbende können nach Einreichungsdatum, Stelle, oder Status gefiltert werden. Notizen lassen sich direkt am Datensatz hinterlegen. Automatische Bestätigungs-E-Mails gehen sofort raus, ohne manuelles Tippen.

Das spart Zeit – und reduziert gleichzeitig das Risiko, dass Unterlagen in falschen Händen landen oder aus dem Blickfeld geraten.

Gerade KMU ohne eigene HR-Software profitieren von dieser Lösung: Ein Formsly-Bewerbungsformular ist in wenigen Minuten aufgesetzt, kann auf der eigenen Website eingebettet werden und gibt direkt ein professionelles Bild ab.

Keine IT-Infrastruktur notwendig, keine Lizenzgebühren für grosses Bewerbermanagementsystem, keine US-Cloud-Abhängigkeit. Und dennoch: strukturierte Datenerfassung, sichere Speicherung, nachvollziehbarer Zugriff.

Datenschutz im Recruiting muss kein Mehraufwand sein – er kann ein Qualitätsmerkmal werden, das Bewerbende aktiv wahrnehmen.

E-Mail-basiertes Recruiting ist weit verbreitet, aber strukturell ungeeignet für die datenschutzrechtlichen Anforderungen an Bewerberdaten.

Formularbasierte Lösungen schaffen Ordnung, Nachvollziehbarkeit und Compliance – ohne dass ein grosses System eingeführt werden muss.

Wer seinen Bewerbenden und sich selbst einen Gefallen tun möchte, beginnt mit einem einfachen Schritt: Bewerbungen nicht mehr per E-Mail empfangen.