Bewerberdaten müssen nach der DSGVO spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens gelöscht werden, es sei denn, es liegt eine ausdrückliche Einwilligung des Bewerbers vor oder berechtigte Interessen des Arbeitgebers rechtfertigen eine längere Aufbewahrung. Die Löschung muss vollständig und nachweisbar erfolgen, um Datenschutzverstöße und hohe Bußgelder zu vermeiden.
Was besagt die DSGVO über die Löschung von Bewerberdaten?
Die DSGVO verpflichtet Arbeitgeber zur zweckgebundenen und zeitlich begrenzten Verarbeitung von Bewerberdaten. Personaldaten dürfen nur so lange gespeichert werden, wie sie für den ursprünglichen Zweck erforderlich sind. Nach Abschluss des Bewerbungsverfahrens entfällt die Rechtsgrundlage für die Datenverarbeitung.
Das Prinzip der Datenminimierung besagt, dass nur die für das Bewerbungsverfahren notwendigen Informationen erhoben werden dürfen. Überflüssige Daten müssen bereits bei der Erhebung vermieden werden. Die Zweckbindung bedeutet, dass Bewerberdaten ausschließlich für die Personalauswahl verwendet werden dürfen.
Bewerber haben nach Artikel 17 DSGVO ein ausdrückliches Recht auf Löschung ihrer Daten. Dieses Recht können sie jederzeit geltend machen, sofern keine gesetzlichen Aufbewahrungspflichten oder berechtigten Interessen des Arbeitgebers entgegenstehen. Unternehmen müssen diesem Löschantrag innerhalb eines Monats nachkommen.
Die rechtliche Grundlage für die Verarbeitung von Bewerberdaten ist in der Regel Artikel 6 Absatz 1 Buchstabe b DSGVO (Vertragsanbahnung) oder Artikel 6 Absatz 1 Buchstabe f DSGVO (berechtigte Interessen). Sobald diese Rechtsgrundlage wegfällt, müssen die Daten gelöscht werden.
Wann müssen Bewerberdaten spätestens gelöscht werden?
Erfolglose Bewerbungen müssen spätestens sechs Monate nach der Absage gelöscht werden. Bei erfolgreichen Bewerbungen gehen die Daten in das Beschäftigungsverhältnis über und unterliegen dann den arbeitsrechtlichen Aufbewahrungsfristen. Diese Grundregel gilt für alle Bewerbungsunterlagen ohne ausdrückliche Einwilligung des Bewerbers.
Die sechsmonatige Frist beginnt mit dem Abschluss des Bewerbungsverfahrens, also dem Zeitpunkt der endgültigen Entscheidung. Bei mehrstufigen Verfahren ist dies der Moment, in dem die letzte Entscheidung getroffen und kommuniziert wurde. Zwischenzeitliche Ablehnungen starten die Frist bereits früher.
Ausnahmen von der sechsmonatigen Löschfrist bestehen nur bei berechtigten Interessen des Arbeitgebers. Dazu gehören beispielsweise laufende rechtliche Auseinandersetzungen oder die begründete Erwartung ähnlicher Stellenausschreibungen in naher Zukunft. Diese Ausnahmen müssen jedoch dokumentiert und rechtlich begründbar sein.
Für verschiedene Kategorien von Bewerberdaten gelten unterschiedliche Behandlungen: Grunddaten wie Name und Kontaktdaten unterliegen der allgemeinen sechsmonatigen Frist. Besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO (Gesundheitsdaten, ethnische Herkunft) müssen besonders geschützt und vorrangig gelöscht werden.
Wie löscht man Bewerberdaten praktisch und vollständig?
Eine vollständige Datenlöschung erfordert die systematische Entfernung aller Bewerberdaten aus sämtlichen Systemen und Speicherorten. Dazu gehören E-Mail-Postfächer, lokale Festplatten, Cloud-Speicher, Backup-Systeme und physische Unterlagen. Die Löschung muss dokumentiert und nachweisbar erfolgen.
Beginnen Sie mit einer vollständigen Bestandsaufnahme aller Speicherorte. Bewerberdaten befinden sich häufig in verschiedenen E-Mail-Postfächern der Beteiligten, auf lokalen Computern, in Cloud-Diensten und als ausgedruckte Unterlagen. Erstellen Sie eine Checkliste aller zu prüfenden Systeme und Speicherorte.
Die technische Umsetzung erfolgt schrittweise: Löschen Sie zunächst alle E-Mails mit Bewerbungsunterlagen aus den Postfächern aller beteiligten Personen. Leeren Sie anschließend die Papierkörbe und prüfen Sie gesendete Objekte. Entfernen Sie Dateien von lokalen Festplatten und Cloud-Speichern vollständig.
Besondere Aufmerksamkeit verdienen Backup-Systeme, da diese oft übersehen werden. Bewerberdaten in automatischen Backups müssen ebenfalls gelöscht oder für die Wiederherstellung gesperrt werden. Dokumentieren Sie jeden Löschvorgang mit Datum, beteiligten Personen und gelöschten Datenbeständen.
Ein modernes Bewerbermanagement-System mit automatisierten Löschfunktionen kann diesen Prozess erheblich vereinfachen. Solche Systeme bieten DSGVO-konforme Workflows und dokumentieren Löschvorgänge automatisch, was das Risiko menschlicher Fehler minimiert.
Welche Bewerberdaten dürfen unter welchen Umständen aufbewahrt werden?
Bewerberdaten dürfen nur mit ausdrücklicher Einwilligung des Bewerbers oder bei berechtigten Interessen des Arbeitgebers über die sechsmonatige Frist hinaus aufbewahrt werden. Die Einwilligung muss freiwillig, spezifisch und jederzeit widerrufbar sein. Berechtigte Interessen müssen konkret begründet und dokumentiert werden.
Für Talent-Pools ist eine separate Einwilligung erforderlich, die klar vom Bewerbungsverfahren getrennt ist. Diese Einwilligung muss explizit für die Aufbewahrung in einem Talent-Pool erteilt werden und kann nicht aus der ursprünglichen Bewerbung abgeleitet werden. Bewerber müssen über Zweck, Dauer und Umfang der Speicherung informiert werden.
Berechtigte Interessen des Arbeitgebers können in folgenden Fällen vorliegen: Nachweis eines ordnungsgemäßen Auswahlverfahrens bei rechtlichen Streitigkeiten, konkrete Planung ähnlicher Stellenausschreibungen in den nächsten Monaten oder gesetzliche Dokumentationspflichten im öffentlichen Dienst.
Die Interessenabwägung nach Artikel 6 Absatz 1 Buchstabe f DSGVO muss dokumentiert werden. Dabei müssen die Interessen des Unternehmens gegen die Grundrechte des Bewerbers abgewogen werden. Je länger die Aufbewahrung, desto höhere Anforderungen gelten an die Begründung.
Anonymisierte oder pseudonymisierte Daten für statistische Auswertungen fallen nicht unter die Löschpflicht, sofern ein Personenbezug nicht mehr herstellbar ist. Die Anonymisierung muss jedoch technisch und organisatorisch so erfolgen, dass eine Reidentifizierung ausgeschlossen ist.
Was passiert bei Verstößen gegen die DSGVO-Löschpflichten?
Verstöße gegen die Löschpflichten können Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes nach sich ziehen. Zusätzlich drohen Schadensersatzforderungen betroffener Bewerber und erhebliche Reputationsschäden. Aufsichtsbehörden verhängen bei Datenschutzverstößen im Recruiting besonders hohe Strafen.
Die Bußgeldhöhe richtet sich nach verschiedenen Kriterien: Art und Schwere des Verstoßes, Anzahl betroffener Personen, Dauer der unrechtmäßigen Speicherung und Kooperationsbereitschaft des Unternehmens. Kleine und mittlere Unternehmen erhalten oft niedrigere Bußgelder, aber auch diese können existenzbedrohend sein.
Meldepflichten gegenüber Aufsichtsbehörden bestehen bei Datenschutzverletzungen, die ein hohes Risiko für die Rechte der Bewerber darstellen. Die Meldung muss innerhalb von 72 Stunden nach Bekanntwerden des Verstoßes erfolgen. Bei hohem Risiko müssen auch die betroffenen Bewerber informiert werden.
Präventive Maßnahmen zur Risikominimierung umfassen regelmäßige Schulungen der Mitarbeiter, technische und organisatorische Maßnahmen zum Datenschutz und die Implementierung automatisierter Löschprozesse. Ein Verzeichnis von Verarbeitungstätigkeiten nach Artikel 30 DSGVO dokumentiert alle Verarbeitungsvorgänge.
Die Bestellung eines Datenschutzbeauftragten ist für Unternehmen ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten, verpflichtend. Dieser überwacht die Einhaltung der DSGVO-Bestimmungen und berät bei der ordnungsgemäßen Löschung von Bewerberdaten. Bei Unsicherheiten können Unternehmen sich auch direkt an Experten wenden, um rechtskonforme Prozesse zu etablieren.
Wie onlyfy Bewerbungsmanager bei der DSGVO-konformen Datenlöschung hilft
Der onlyfy Bewerbungsmanager bietet eine vollautomatisierte Lösung für die rechtskonforme Löschung von Bewerberdaten und minimiert das Risiko von Datenschutzverstößen erheblich. Das System übernimmt die komplexe Verwaltung von Löschfristen und sorgt für vollständige Compliance ohne manuellen Aufwand.
Die wichtigsten Funktionen für DSGVO-konforme Datenverwaltung:
- Automatische Löschfristen: Das System erkennt automatisch das Ende von Bewerbungsverfahren und startet die sechsmonatige Löschfrist
- Einverständnisverwaltung: Digitale Erfassung und Verwaltung von Bewerbereinwilligungen für Talent-Pools mit jederzeitiger Widerrufsmöglichkeit
- Vollständige Datenlöschung: Automatische Entfernung aller Bewerberdaten aus allen Systemkomponenten inklusive Backups
- Löschprotokollierung: Lückenlose Dokumentation aller Löschvorgänge für Aufsichtsbehörden und interne Nachweise
- Berechtigte Interessen verwalten: Strukturierte Erfassung und Dokumentation von Aufbewahrungsgründen mit automatischer Überprüfung
Sichern Sie Ihr Unternehmen vor DSGVO-Verstößen und hohen Bußgeldern ab. Testen Sie die Demo des onlyfy Bewerbungsmanagers jetzt 30 Tage kostenlos und erleben Sie, wie einfach rechtskonforme Bewerbungsverwaltung sein kann. Zusätzlich stehen Ihnen umfassende Hilfe und Trainings zur Verfügung, um das System optimal zu nutzen.
