Die Speicherung von Bewerberfotos ist nach DSGVO & Datenschutz nur mit einer rechtlichen Grundlage erlaubt. Arbeitgeber dürfen Fotos verarbeiten, wenn dies zur Durchführung des Bewerbungsverfahrens erforderlich ist oder der Bewerber ausdrücklich eingewilligt hat. Nach Abschluss des Verfahrens gelten strenge Löschfristen, um Datenschutzverstöße zu vermeiden.
Dürfen Arbeitgeber Bewerberfotos überhaupt speichern?
Arbeitgeber dürfen Bewerberfotos nur unter bestimmten rechtlichen Voraussetzungen speichern. Die DSGVO & Datenschutz-Bestimmungen erlauben die Verarbeitung von Fotos, wenn sie zur ordnungsgemäßen Durchführung des Bewerbungsverfahrens erforderlich ist oder eine ausdrückliche Einwilligung vorliegt.
Die wichtigste Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b DSGVO, der die Datenverarbeitung zur Durchführung vorvertraglicher Maßnahmen auf Antrag der betroffenen Person erlaubt. Das Bewerbungsverfahren gilt als solche vorvertragliche Maßnahme. Allerdings muss die Speicherung von Fotos tatsächlich erforderlich sein – eine bloße Gewohnheit oder der Wunsch, sich ein Bild vom Bewerber zu machen, reicht nicht aus.
Alternativ können Arbeitgeber auf Artikel 6 Absatz 1 Buchstabe a DSGVO zurückgreifen, der eine Datenverarbeitung auf Basis einer freiwilligen Einwilligung ermöglicht. Diese muss jedoch eindeutig, informiert und widerrufbar sein. Wichtig: Die Einwilligung darf nicht zur Bedingung für die Teilnahme am Bewerbungsverfahren gemacht werden.
Besondere Vorsicht ist bei Bewerbungsfotos geboten, da diese indirekt Rückschlüsse auf ethnische Herkunft, Alter oder andere geschützte Merkmale zulassen können. Arbeitgeber sollten daher genau prüfen, ob Fotos wirklich notwendig sind oder ob das Bewerbungsverfahren auch ohne sie auskommt.
Wie lange dürfen Bewerberfotos gespeichert werden?
Bewerberfotos müssen nach Abschluss des Bewerbungsverfahrens grundsätzlich unverzüglich gelöscht werden. Bei abgelehnten Bewerbern gilt eine maximale Aufbewahrungsfrist von sechs Monaten, sofern keine anderweitigen rechtlichen Verpflichtungen bestehen. Erfolgreiche Bewerber können der Speicherung für das Arbeitsverhältnis zustimmen.
Die konkreten Löschfristen richten sich nach dem Grundsatz der Speicherbegrenzung gemäß Artikel 5 Absatz 1 Buchstabe e DSGVO. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet wurden, erforderlich ist.
Für abgelehnte Bewerber bedeutet dies:
- Sofortige Löschung nach Absage, wenn keine berechtigten Interessen bestehen
- Aufbewahrung bis zu sechs Monaten nur bei konkreten rechtlichen Risiken
- Längere Speicherung nur mit ausdrücklicher Einwilligung für künftige Stellenausschreibungen
Bei erfolgreichen Bewerbern ändert sich die Rechtsgrundlage: Das Foto kann für das entstehende Arbeitsverhältnis gespeichert werden, beispielsweise für Mitarbeiterausweise oder interne Verzeichnisse. Auch hier muss jedoch eine konkrete Erforderlichkeit gegeben sein.
Moderne Bewerbermanagement-Systeme unterstützen Unternehmen bei der automatisierten Löschung. Sie können Löschfristen definieren und Erinnerungen erhalten, wenn Daten gelöscht werden müssen. Dies reduziert das Risiko von Datenschutzverstößen erheblich.
Was passiert, wenn Bewerberfotos nicht DSGVO-konform gespeichert werden?
Verstöße gegen die DSGVO & Datenschutz-Bestimmungen bei Bewerberfotos können Bußgelder bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes nach sich ziehen. Zusätzlich drohen Abmahnungen, Schadensersatzforderungen und erhebliche Reputationsschäden für das Unternehmen.
Die Datenschutzaufsichtsbehörden verhängen Bußgelder nach einem abgestuften System. Bei Verstößen gegen Grundprinzipien der DSGVO, wie unrechtmäßige Speicherung oder fehlende Löschung, greifen die höchsten Bußgeldkategorien. Auch kleinere Unternehmen sind nicht automatisch geschützt – die Behörden berücksichtigen zwar die Unternehmensgröße, verhängen aber dennoch empfindliche Strafen.
Besonders problematisch wird es, wenn:
- Fotos ohne Rechtsgrundlage gespeichert werden
- Löschfristen systematisch missachtet werden
- keine technischen und organisatorischen Maßnahmen zum Datenschutz getroffen wurden
- Betroffenenrechte wie Auskunft oder Löschung ignoriert werden
Neben behördlichen Sanktionen können betroffene Bewerber auch zivilrechtliche Ansprüche geltend machen. Artikel 82 DSGVO gewährt ein Recht auf Schadensersatz bei materiellen und immateriellen Schäden. Bereits die Verletzung des Persönlichkeitsrechts durch unrechtmäßige Fotospeicherung kann zu Entschädigungszahlungen führen.
Präventiv sollten Unternehmen daher klare Datenschutzrichtlinien etablieren, Mitarbeiter schulen und technische Lösungen implementieren, die DSGVO-konforme Prozesse automatisiert unterstützen.
Wie können kleine Unternehmen Bewerberfotos rechtssicher verwalten?
Kleine Unternehmen können Bewerberfotos rechtssicher verwalten, indem sie auf professionelle Bewerbermanagement-Systeme setzen, die automatisierte Löschfunktionen und DSGVO-konforme Workflows bieten. Klare Prozesse, Mitarbeiterschulungen und die Dokumentation aller Datenverarbeitungsschritte schaffen zusätzliche Rechtssicherheit – auch ohne eigene Rechtsabteilung.
Der erste Schritt ist die Entscheidung, ob Bewerberfotos überhaupt erforderlich sind. Viele Unternehmen verzichten mittlerweile bewusst auf Fotos, um Diskriminierung zu vermeiden und den Bewerbungsprozess zu vereinfachen. Moderne Bewerbungsformulare fokussieren sich stattdessen auf relevante Qualifikationen und Motivationsfaktoren.
Falls Fotos notwendig sind, helfen diese praktischen Maßnahmen:
- Bewerbermanagement-System mit automatischen Löschfunktionen einsetzen
- klare Einwilligungserklärungen für die freiwillige Fotospeicherung formulieren
- Zugriffsbeschränkungen nur für berechtigte Personen im Recruiting-Team einführen
- regelmäßige Überprüfung und Löschung gespeicherter Bewerberdaten sicherstellen
- Dokumentation der Rechtsgrundlagen und Löschfristen führen
Ein professionelles Bewerbermanagement-System automatisiert viele dieser Prozesse. Es kann Löschfristen überwachen, Erinnerungen versenden und sicherstellen, dass Daten nur so lange gespeichert werden, wie dies rechtlich zulässig ist. Zusätzlich bieten solche Systeme oft vorkonfigurierte DSGVO-konforme Einstellungen und Vorlagen.
Für die praktische Umsetzung sollten kleine Unternehmen außerdem einen Datenschutzverantwortlichen benennen, auch wenn kein Datenschutzbeauftragter erforderlich ist. Diese Person überwacht die Einhaltung der Bestimmungen und fungiert als Ansprechpartner für Bewerberanfragen. Bei Unsicherheiten empfiehlt es sich, Hilfe und Trainings in Anspruch zu nehmen.
Die Investition in ein professionelles System zahlt sich schnell aus: Sie reduziert nicht nur das Risiko kostspieliger Datenschutzverstöße, sondern verbessert auch die Effizienz im Recruiting-Prozess und die Candidate Experience durch transparente, professionelle Abläufe.
Wie onlyfy Bewerbungsmanager bei der DSGVO-konformen Verwaltung von Bewerberfotos hilft
onlyfy Bewerbungsmanager bietet Ihnen eine vollständig DSGVO-konforme Lösung für die rechtssichere Verwaltung von Bewerberfotos. Die Software automatisiert kritische Datenschutzprozesse und schützt Ihr Unternehmen vor kostspieligen Verstößen:
- Automatische Löschfristen: Das System löscht Bewerberfotos automatisch nach den gesetzlich vorgeschriebenen Fristen und sendet Ihnen rechtzeitig Erinnerungen
- DSGVO-konforme Einwilligungserklärungen: Vorgefertigte, rechtssichere Formulare für die freiwillige Speicherung von Bewerberfotos
- Rollenbasierte Zugriffskontrolle: Nur autorisierte Personen können Bewerberfotos einsehen und verwalten
- Revisionssichere Dokumentation: Alle Datenverarbeitungsschritte werden automatisch protokolliert und dokumentiert
- Ein-Klick-Löschung: Sofortige, unwiderrufliche Löschung aller Bewerberdaten auf Knopfdruck
Schützen Sie Ihr Unternehmen vor Bußgeldern und Schadensersatzforderungen. Testen Sie onlyfy Bewerbungsmanager jetzt 14 Tage kostenlos und erleben Sie, wie einfach DSGVO-konforme Bewerberverwaltung sein kann!
