Löschfristen Bewerberdaten DSGVO: HR-Praxis & sichere

Für abgelehnte Bewerberdaten gilt in Deutschland als sichere Faustregel eine maximale Aufbewahrung von 6 Monaten nach Ende des Bewerbungsverfahrens. Zieht ein Bewerber seine Bewerbung zurück, müssen die Daten unverzüglich gelöscht werden, und für einen Talentpool brauchen Sie eine ausdrückliche Einwilligung mit klarer Speicherdauer.
Genau an diesem Punkt hängen viele HR-Teams fest. Im ATS liegen alte Profile, im E-Mail-Postfach stecken Anhänge mit Lebensläufen, in Excel-Listen stehen Notizen aus Interviews, und im Chat-Verlauf mit Kandidaten ist längst nicht mehr klar, ob die Stelle schon besetzt oder der Prozess wirklich abgeschlossen ist.
Im Alltag löscht kaum jemand zu früh. Das Risiko liegt fast immer auf der anderen Seite. Daten bleiben liegen, weil sie „vielleicht noch nützlich“ sind, weil niemand die Frist gesetzt hat oder weil moderne Recruiting-Prozesse über mehrere Kanäle laufen. Gerade bei chat-basiertem Recruiting wird das schnell unübersichtlich. Die DSGVO fragt aber nicht, ob ein Lebenslauf später noch hilfreich sein könnte. Sie fragt, ob Sie ihn jetzt noch verarbeiten dürfen.
Inhaltsverzeichnis
- Warum alte Bewerberdaten ein rechtliches Risiko sind
- DSGVO und AGG verstehen
- Die Aufbewahrungsfrist für abgelehnte Bewerber
- Talent-Pools Initiativbewerbungen und Co
- So setzen Sie die Löschung praktisch um
- Antworten auf Ihre dringendsten Fragen
<a id="warum-alte-bewerberdaten-ein-rechtliches-risiko-sind"></a>
Warum alte Bewerberdaten ein rechtliches Risiko sind
Der typische Fall sieht unspektakulär aus. Eine Stelle ist besetzt, die Absagen sind raus, und dann bleibt der digitale Bewerbungsstapel einfach liegen. Im Recruiting-Tool ist der Status auf „abgelehnt“ gesetzt, aber die Daten existieren weiter. Zusätzlich liegen Kopien im Postfach der Recruiterin, im Team-Ordner der Fachabteilung und oft noch als Exportdatei irgendwo auf einem Laufwerk.
Genau daraus entsteht das Risiko. Nicht, weil HR absichtlich etwas falsch macht, sondern weil der Prozess nach der Entscheidung oft endet, bevor der Löschprozess überhaupt beginnt. Wer nur auf Auswahl und Besetzung schaut, übersieht den letzten Schritt. Datenschutzrechtlich ist aber gerade dieser letzte Schritt entscheidend.
<a id="warum-der-volle-ordner-problematisch-ist"></a>
Warum der volle Ordner problematisch ist
Bewerberdaten sind kein Archivgut auf Vorrat. Sobald der ursprüngliche Zweck wegfällt, wird jede weitere Speicherung erklärungsbedürftig. Das betrifft klassische Unterlagen wie Lebenslauf und Zeugnisse genauso wie Interviewnotizen, Chat-Nachrichten oder intern weitergeleitete E-Mails.
Was in der Praxis oft nicht funktioniert:
- „Wir lassen das erstmal liegen“. Ohne klaren Löschanlass wird aus einem Übergangszustand schnell Daueraufbewahrung.
- „Vielleicht passt die Person später“. Das reicht ohne passende Rechtsgrundlage nicht.
- „Im ATS ist es sauber, also passt es schon“. Das Problem sitzt häufig in Nebensystemen, nicht im Hauptsystem.
Alte Bewerberdaten sind selten wegen eines einzelnen Datensatzes kritisch. Sie werden kritisch, wenn das Unternehmen nicht mehr erklären kann, warum die Daten überhaupt noch vorhanden sind.
<a id="das-spannungsfeld-zwischen-vorsicht-und-pflicht"></a>
Das Spannungsfeld zwischen Vorsicht und Pflicht
HR hat ein nachvollziehbares Interesse, Unterlagen nicht sofort zu löschen. Kandidaten können später relevant werden, und nach einer Absage will niemand Unterlagen vernichten, die man zur Verteidigung in einem Streitfall noch brauchen könnte.
Genau hier liegt das praktische Spannungsfeld bei Löschfristen für Bewerberdaten nach DSGVO. Es geht nicht um ein starres „alles sofort weg“, aber eben auch nicht um unbegrenztes Aufbewahren. Wer keinen gesteuerten Prozess hat, landet fast automatisch im Risiko. Nicht wegen fehlender Recruiting-Kompetenz, sondern wegen fehlender Routinen zwischen Absage, Fristablauf und tatsächlicher Löschung.
<a id="dsgvo-und-agg-verstehen"></a>
DSGVO und AGG verstehen
Die juristische Logik hinter Bewerberdaten ist im Kern einfacher, als viele denken. Zwei Regelungsbereiche greifen ineinander. Die DSGVO sagt: personenbezogene Daten dürfen nicht länger gespeichert werden, als der Zweck es erfordert. Das AGG sorgt zugleich dafür, dass eine sofortige Löschung nach einer Absage oft nicht sinnvoll ist, weil Unternehmen Unterlagen noch für die eigene Rechtsverteidigung benötigen.

<a id="der-eigentliche-zweck-der-datenverarbeitung"></a>
Der eigentliche Zweck der Datenverarbeitung
Im Recruiting ist der Zweck zunächst klar. Sie verarbeiten Daten, um über die Besetzung einer Stelle zu entscheiden. Solange das Verfahren läuft, ist das nachvollziehbar. Kritisch wird es ab dem Moment, in dem die Entscheidung gefallen ist.
Dann greifen die Grundsätze der DSGVO praktisch durch. Datenminimierung und Speicherbegrenzung sind keine Theorie für den Datenschutzhinweis, sondern Arbeitsauftrag an HR und Recruiting Operations. Wenn die Stelle besetzt ist oder ein Kandidat endgültig abgesagt wurde, muss das Unternehmen aktiv prüfen, ob es für die weitere Speicherung noch einen tragfähigen Grund gibt.
Für digitale Prozesse ist das besonders relevant. In modernen Setups wandern Bewerberdaten nicht nur durch ein ATS, sondern auch durch Formulare, Messenger, Postfächer, Kalender, Interviewnotizen und Integrationen zwischen Tools. Wer seine Datenschutzprozesse sauber aufsetzen will, sollte nicht nur die eigene Karriereseite prüfen, sondern auch die Datenschutzrichtlinien von CE-Copilot als Beispiel dafür ansehen, wie technische Prozesse und datenschutzrechtliche Transparenz zusammengeführt werden können.
Ein ähnlicher Prüfpunkt gilt für chat-gestützte Bewerbungswege. Wenn Bewerberdaten über Messenger oder automatisierte Dialoge hereinkommen, muss der Datenschutz nicht nur in der Datenschutzerklärung, sondern auch im operativen Prozess mitgedacht werden, etwa bei Zugriffen, Speicherorten und Löschlogiken. Ein praxisnaher Bezugspunkt dafür ist die Datenschutzseite von IdoneaChat.
<a id="warum-das-agg-die-loschung-nicht-sofort-auslost"></a>
Warum das AGG die Löschung nicht sofort auslöst
Wenn man nur auf die DSGVO schaut, könnte man meinen, nach einer Absage müsse sofort gelöscht werden. Im Grundsatz stimmt die Richtung. Praktisch greift aber noch ein zweites Interesse: das Unternehmen muss sich gegen mögliche Ansprüche aus einem Diskriminierungsvorwurf verteidigen können.
Darum ist die Aufbewahrung nach der Absage nicht primär „für später vielleicht interessant“, sondern zur Absicherung gegen mögliche AGG-Ansprüche. Das ist ein wichtiger Unterschied. Viele interne Diskussionen verlaufen falsch, weil HR Talentpflege und Rechtsverteidigung vermischt.
Praxisgedanke: Nach einer Absage speichern Sie Daten nicht weiter, um den Kandidaten warmzuhalten, sondern um Ihr Verfahren im Streitfall belegen zu können.
Für die tägliche Arbeit heisst das: Es braucht eine klare Trennung zwischen dem Standardfall „abgelehnt und später löschen“ und dem Sonderfall „mit Einwilligung in den Talentpool“. Wenn Teams diese Unterscheidung nicht sauber umsetzen, entstehen die typischen Fehler. Kandidaten bleiben unbeabsichtigt im System, Einwilligungen fehlen, und niemand weiss mehr, welche Daten aus welchem Grund noch vorhanden sind.
<a id="die-aufbewahrungsfrist-fur-abgelehnte-bewerber"></a>
Die Aufbewahrungsfrist für abgelehnte Bewerber
Im deutschen HR-Alltag hat sich eine Regel als belastbarer Standard etabliert: Abgelehnte Bewerberdaten sollten maximal 6 Monate nach Beendigung des Bewerbungsverfahrens gespeichert werden. Diese Frist ist nicht aus der Luft gegriffen, sondern wird aus den einschlägigen Fristen des AGG und des Arbeitsgerichtsverfahrens hergeleitet, wie die Einordnung zur Aufbewahrung und Löschung von Bewerbungsunterlagen erläutert.

<a id="so-entsteht-die-6-monats-regel"></a>
So entsteht die 6-Monats-Regel
Die Herleitung ist für HR wichtig, weil man die Frist intern sonst schnell als pauschale Faustformel behandelt. Tatsächlich setzt sie sich aus mehreren Bausteinen zusammen:
- 2 Monate Geltendmachungsfrist nach § 15 Abs. 4 AGG.
- 3 Monate Klagefrist nach § 61b ArbGG.
- 1 Monat Puffer für Verzögerungen bei der Klagezustellung.
Zusammen ergibt das 5 Monate plus 1 Monat Puffer, also maximal 6 Monate. Genau deshalb sprechen Aufsichtsbehörden und Fachpraxis von diesem Zeitraum als sicherem Orientierungsrahmen in Deutschland.
Merksatz: Für abgelehnte Bewerber ist 6 Monate die obere praktische Grenze. Danach müssen die personenbezogenen Daten gelöscht werden, wenn keine Klage läuft und keine gesonderte Einwilligung für einen anderen Zweck vorliegt.
Im Recruiting-Alltag ist diese Frist vor allem deshalb hilfreich, weil sie Diskussionen beendet. Sie müssen nicht jede einzelne Bewerbung neu juristisch ableiten. Sie brauchen einen Standardprozess, der diese Frist systematisch überwacht.
Ein nützlicher Überblick für digitale Bewerbungsprozesse findet sich auch auf der Datenschutzseite für Bewerberdaten.
<a id="wann-die-frist-startet-und-was-danach-passieren-muss"></a>
Wann die Frist startet und was danach passieren muss
Entscheidend ist nicht der Moment, in dem intern entschieden wurde, sondern der Abschluss des Bewerbungsverfahrens gegenüber dem Kandidaten. In der Praxis wird das meist mit dem Versand der Absage oder mit dem dokumentierten Abschluss des Verfahrens greifbar.
Spätestens nach Ablauf der Frist reicht es nicht, den Datensatz im ATS nur zu archivieren oder auszublenden. Dann müssen die Daten gelöscht werden. Das umfasst nicht nur das Hauptsystem, sondern alle Kopien, die im Verlauf entstanden sind.
Dazu gehören typischerweise:
- E-Mail-Postfächer mit Bewerbungsanhängen und Weiterleitungen
- Dateiablagen mit exportierten Unterlagen oder Interviewdokumenten
- Chat-Verläufe aus Messenger- oder Conversational-Recruiting-Prozessen
- Lokale Kopien auf Geräten oder in geteilten Teamordnern
Später im Prozess wird genau das oft zum Problem. Im ATS ist der Datensatz entfernt, aber die Bewerbung lebt in Nebensystemen weiter. Rechtlich hilft diese halbe Löschung nicht. Operativ ist sie sogar gefährlicher, weil sie Sicherheit suggeriert, wo keine ist.
Bevor wir zur Umsetzung kommen, lohnt ein kurzer Praxiseinblick:
<iframe width="100%" style="aspect-ratio: 16 / 9;" src="https://www.youtube.com/embed/pXWMbQInubU" frameborder="0" allow="autoplay; encrypted-media" allowfullscreen></iframe><a id="talent-pools-initiativbewerbungen-und-co"></a>
Talent-Pools Initiativbewerbungen und Co
Nicht jede Bewerbung endet nach demselben Muster. Genau deshalb scheitern viele Löschkonzepte in der Praxis. Sie funktionieren für die Standardabsage, aber nicht für die Fälle dazwischen. Und genau diese Fälle tauchen im Recruiting ständig auf.
<a id="wann-langere-speicherung-zulassig-ist"></a>
Wann längere Speicherung zulässig ist
Für einen Talentpool reicht die alte Bewerbung allein nicht aus. Wenn Sie einen Kandidaten über das eigentliche Verfahren hinaus speichern wollen, brauchen Sie eine ausdrückliche Einwilligung. Nach der Einordnung bei Dr. Datenschutz zur Aufbewahrungsfrist von Bewerbungen kann diese eine Speicherung für bis zu 1 bis maximal 2 Jahre tragen. Ohne diese Einwilligung bleibt die längere Aufbewahrung nicht sauber begründbar.
Das ist der Kernunterschied zwischen zwei oft vermischten Situationen:
| Fall | Was trägt die Speicherung |
|---|---|
| Abgelehnter Bewerber | Vorübergehende Absicherung wegen möglicher AGG-Ansprüche |
| Talentpool | Ausdrückliche Einwilligung für künftige Kontaktaufnahme |
| Initiativbewerbung ohne konkreten Folgeprozess | Nur solange ein nachvollziehbarer Zweck besteht |
| Bewerbung wird zurückgezogen | Kein weiterer Zweck. Löschung unverzüglich |
Ein weiterer Punkt aus derselben Einordnung ist für international arbeitende Teams wichtig: In Österreich wird eine Frist von 7 Monaten als vertretbar eingestuft. Für Deutschland ist aber die 6-Monats-Regel der sichere Standard. Wer grenzüberschreitend rekrutiert, sollte solche Unterschiede nicht in ein einheitliches Schema pressen.
<a id="wo-hr-teams-in-der-praxis-scheitern"></a>
Wo HR-Teams in der Praxis scheitern
Der häufigste Fehler beim Talentpool ist nicht böser Wille, sondern Bequemlichkeit. Eine Checkbox wird irgendwo eingebaut, aber niemand prüft, ob sie wirklich freiwillig, verständlich und vom übrigen Verfahren getrennt ist. Noch häufiger fehlt die konkrete Frist.
Was funktioniert:
- Ein separater Opt-in für den Talentpool, getrennt von der eigentlichen Bewerbung
- Ein klar benannter Zweck, also spätere Ansprache für passende Vakanzen
- Eine definierte Speicherdauer statt offener Formulierungen
- Ein sauber dokumentierter Widerrufskanal
Was nicht funktioniert:
- Pauschale Einwilligungen im Kleingedruckten
- Unbefristete Speicherung
- Automatische Übernahme aller Absagen in einen Pool
- Weiterführung alter Profile, obwohl niemand mehr weiss, wofür die Zustimmung ursprünglich erteilt wurde
Ein Talentpool ist kein Ausweichparkplatz für Daten, die man nach einer Absage ungern löscht.
Bei Initiativbewerbungen ist die Lage ähnlich. Wenn keine passende Stelle vorhanden ist und kein gesonderter Pool-Opt-in vorliegt, kippt der Zweck oft schneller, als Teams annehmen. Und wenn ein Bewerber seine Bewerbung zurückzieht, gibt es keinen Interpretationsspielraum. Dann ist die Löschung unverzüglich fällig.
<a id="so-setzen-sie-die-loschung-praktisch-um"></a>
So setzen Sie die Löschung praktisch um
Die grösste Schwachstelle liegt selten in der Rechtskenntnis. Sie liegt im fehlenden Prozess. Viele Unternehmen wissen grob, dass Bewerberdaten irgendwann gelöscht werden müssen. Aber nur wenige haben festgelegt, wer die Frist setzt, wo überall Daten liegen und wie die Löschung dokumentiert wird.

<a id="wo-bewerberdaten-tatsachlich-liegen"></a>
Wo Bewerberdaten tatsächlich liegen
Wer nur auf das ATS schaut, unterschätzt das Problem. Bewerberdaten verteilen sich fast immer über mehrere Orte:
-
ATS oder Bewerbermanagement-System
Dort liegt der offizielle Datensatz. Hier sollte auch die führende Fristlogik sitzen. -
Recruiting-Postfächer
Gerade bei E-Mail-Bewerbungen bleiben Anhänge, Weiterleitungen und Absagekorrespondenz oft viel länger liegen als gedacht. -
Excel-Listen und geteilte Dateien
Viele Teams bauen sich neben dem System eigene Übersichten. Diese Schattenlisten werden beim Löschen regelmässig vergessen. -
Chat-Kanäle und Messenger-Prozesse
Wer chat-basiert rekrutiert, verarbeitet oft mehr personenbezogene Daten, als im ersten Moment sichtbar ist. Screening-Antworten, Rückfragen, Sprachnachrichten oder Terminabsprachen gehören ebenfalls in die Löschlogik. -
Backups und Exporte
Auch Sicherungen und Archivkopien müssen im Löschkonzept mitgedacht werden.
<a id="ein-loschkonzept-das-im-alltag-funktioniert"></a>
Ein Löschkonzept das im Alltag funktioniert
Ein funktionierendes Konzept ist nicht lang. Es ist eindeutig. Diese Punkte sollten schriftlich festgelegt sein:
-
Auslöser definieren
Legen Sie fest, wann ein Verfahren als beendet gilt. Das muss systemisch greifbar sein, etwa mit einem Statuswechsel nach versendeter Absage. -
Verantwortung zuweisen
Es muss eine Rolle geben, die die Löschung anstösst oder kontrolliert. Wenn „HR insgesamt“ zuständig ist, ist am Ende niemand zuständig. -
Systeme erfassen
Dokumentieren Sie, in welchen Tools und Ablagen Bewerberdaten landen. Dazu gehören auch Messenger-Strecken und manuelle Exporte. -
Löschroutinen einbauen
Gute Prozesse löschen nicht ad hoc, sondern termingesteuert. Idealerweise erhält der Datensatz beim Abschluss sofort eine Frist. -
Ausnahmen sauber kennzeichnen
Talentpool, laufender Streitfall oder erneute Bewerbung brauchen eigene Statuslogiken. Alles andere sollte in den Standardlauf gehen. -
Nachweis sichern
Sie müssen intern nachvollziehen können, dass gelöscht wurde oder warum ausnahmsweise noch nicht.
Wer Bewerberdaten automatisiert erfasst, sollte sie auch automatisiert klassifizieren und fristgebunden aussteuern. Genau dort sinkt das Fehlerrisiko am stärksten.
Bei chat-basierten Prozessen ist das besonders wichtig. Wenn Kandidaten per Messenger einsteigen, fehlen oft die klassischen Grenzen des Bewerbungsformulars. Dann braucht es technisches Tagging, klare Statuswechsel und geplante Löschjobs. Sonst bleiben Unterhaltungen bestehen, obwohl das Verfahren längst beendet ist. Für die operative Gestaltung solcher Abläufe ist eine saubere Übersicht zu Datenlöschung in digitalen Prozessen hilfreich.
<a id="ubersicht-der-loschfristen-fur-bewerberdaten"></a>
Übersicht der Löschfristen für Bewerberdaten
| Szenario | Rechtsgrundlage | Frist | Handlung |
|---|---|---|---|
| Abgelehnter Bewerber | Speicherung zur Absicherung gegen mögliche AGG-Ansprüche | maximal 6 Monate | Nach Fristablauf vollständig löschen |
| Talentpool | Ausdrückliche Einwilligung | bis zu 1 bis maximal 2 Jahre | Zweck, Dauer und Widerruf dokumentieren |
| Zurückgezogene Bewerbung | Zweck entfällt | unverzüglich | Daten sofort aus allen relevanten Systemen entfernen |
| Initiativbewerbung | Nur solange ein tragfähiger Zweck besteht, sonst Einwilligung nötig | keine pauschale Dauer | Frühzeitig prüfen und ohne Anschlusszweck löschen |
In der Praxis bewährt sich ausserdem eine einfache Kontrollliste pro Kanal:
- ATS geprüft
- E-Mail-Anhänge entfernt
- Teamordner bereinigt
- Chat-Verläufe einbezogen
- Exportdateien gelöscht
- Ausnahmefälle dokumentiert
Das klingt banal, ist aber genau der Unterschied zwischen formalem Datenschutz und belastbarer Umsetzung.
<a id="antworten-auf-ihre-dringendsten-fragen"></a>
Antworten auf Ihre dringendsten Fragen
<a id="was-ist-mit-backups"></a>
Was ist mit Backups
Backups werden in Löschkonzepten gern verdrängt, weil sie technisch unbequem sind. Praktisch gilt: Sie sollten sicherstellen, dass gelöschte Bewerberdaten nicht im normalen Arbeitsprozess wieder auftauchen und dass Sicherungskopien im Rahmen des Löschkonzepts mitberücksichtigt werden. Genau darauf weist auch die datenschutzrechtliche Einordnung hin, dass die Löschung vollständig sein muss und auch E-Mail-Konten sowie Sicherheitskopien einzubeziehen sind.
<a id="brauche-ich-fur-die-aufbewahrung-nach-absage-eine-einwilligung"></a>
Brauche ich für die Aufbewahrung nach Absage eine Einwilligung
Für die Aufbewahrung im Standardfall nach einer Absage ist keine gesonderte Einwilligung der richtige Ansatz. Die Speicherung dient in dieser Phase nicht dem Marketing oder der späteren Ansprache, sondern der rechtlichen Absicherung. Eine Einwilligung brauchen Sie für den Talentpool oder andere Zwecke, die über das eigentliche Verfahren hinausgehen.
<a id="was-gilt-bei-erneuter-bewerbung"></a>
Was gilt bei erneuter Bewerbung
Bewirbt sich eine Person später erneut, startet praktisch ein neuer Verarbeitungsvorgang für das neue Verfahren. Entscheidend ist dann, dass alte Daten nicht einfach unkontrolliert weitergeschoben werden. Sinnvoll ist ein sauberer neuer Datensatz oder eine klar dokumentierte Wiederaufnahme, damit Fristen und Zweckbindung wieder eindeutig sind.
<a id="was-gehort-in-den-datenschutzhinweis"></a>
Was gehört in den Datenschutzhinweis
Ihr Hinweis muss im Bewerbungsprozess verständlich beantworten, welche Daten verarbeitet werden, wofür das geschieht, wer Zugriff hat, wie lange gespeichert wird und welche Rechte Bewerber haben. In der Praxis ist weniger Juristendeutsch und mehr operative Klarheit hilfreich. Kandidaten sollten erkennen können, was mit ihren Unterlagen, E-Mails oder Chat-Angaben passiert.
Hilfreich ist dabei auch eine interne Formulierungsregel: Schreiben Sie den Datenschutzhinweis so, dass Recruiting, Datenschutz und IT denselben Prozess darin wiedererkennen. Wenn Ihr Text eine saubere Löschlogik verspricht, die Ihre Systeme nicht abbilden können, entsteht das eigentliche Risiko.
Gute Datenschutzhinweise lösen kein Löschproblem. Aber schlechte Datenschutzhinweise machen ein bestehendes Löschproblem sichtbar.
Wer das Thema Löschfristen Bewerberdaten DSGVO sauber lösen will, braucht deshalb keine juristische Textwüste. Nötig sind klare Statuslogiken, dokumentierte Ausnahmen und ein Prozess, der auch in E-Mail-Postfächern, Dateien und Chats funktioniert.
Wenn Sie Bewerbungen per WhatsApp oder in chat-basierten Prozessen bearbeiten, lohnt sich ein Blick auf IdoneaChat. Die Plattform hilft HR-Teams dabei, Bewerberdaten strukturiert zu erfassen, Prozesse zu automatisieren und Löschlogiken in moderne Recruiting-Abläufe einzubinden, statt Datenschutz erst nachträglich über verteilte Systeme zu legen.