HireSift
ENKostenlos testen
Recht & Compliance

Bewerberdaten löschen: DSGVO-Fristen im Recruiting richtig umsetzen

HireSift3. Mai 20268 Min Lesezeit
Bewerberdaten löschen: DSGVO-Fristen im Recruiting richtig umsetzen

Bewerberdaten wirken harmlos. Ein Lebenslauf liegt im Postfach. Ein PDF landet im ATS. Eine Notiz aus dem Interview bleibt im Kalender hängen. Genau daraus entsteht aber schnell ein Datenschutzproblem.

Die DSGVO verlangt klare Zwecke, kurze Speicherfristen und nachweisbare Löschung. Im Recruiting ist das besonders wichtig. Du verarbeitest sensible Informationen über Menschen, die oft keine Kontrolle über deine internen Abläufe haben.

Dieser Leitfaden zeigt dir, wie lange du Bewerberdaten speichern darfst. Du erfährst, wann du löschen musst, welche Ausnahmen gelten und wie ein praktisches Löschkonzept aussieht.

Warum Bewerberdaten nicht ewig im System bleiben dürfen

Die zentrale Regel steht in Art. 5 Abs. 1 lit. e DSGVO. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck nötig ist.

Im Recruiting ist der Zweck meist eindeutig: Du willst eine konkrete Stelle besetzen. Sobald die Stelle besetzt ist, entfällt dieser Zweck für abgelehnte Bewerber.

Danach brauchst du eine neue Rechtsgrundlage. Ohne diese Rechtsgrundlage darfst du Lebensläufe, Anschreiben, Zeugnisse und Interviewnotizen nicht einfach behalten.

Viele Teams denken: „Vielleicht passt die Person später.“ Das ist verständlich. Datenschutzrechtlich reicht dieses Bauchgefühl aber nicht.

Wenn du Daten für spätere Rollen speichern willst, brauchst du einen sauberen Talentpool-Prozess. Dazu gehören Einwilligung, Transparenz und eine eigene Frist.

Welche Bewerberdaten betroffen sind

Bewerberdaten sind mehr als Lebenslauf und Anschreiben. In der Praxis entstehen viele Datenpunkte im Prozess.

Typische Beispiele sind:

  • Lebenslauf, Anschreiben und Zeugnisse
  • Kontaktdaten und Gehaltswunsch
  • Interviewnotizen und interne Bewertungen
  • E-Mail-Kommunikation mit Kandidaten
  • Testergebnisse und Arbeitsproben
  • Absagegründe und Status im ATS
  • KI-Scores, Matching-Werte und Screening-Kommentare
  • Metadaten wie Upload-Zeitpunkt oder Quelle

Auch abgeleitete Daten zählen. Wenn dein Tool einen Match-Score berechnet, ist auch dieser Score personenbezogen.

Das gilt besonders bei KI-gestütztem Screening. Ein Ranking wirkt technisch. Trotzdem beschreibt es eine konkrete Person und ihre beruflichen Chancen.

Die wichtigste Frist: drei bis sechs Monate nach Absage

In Deutschland und Österreich hat sich eine praktische Frist etabliert: Bewerberdaten sollten nach drei bis sechs Monaten gelöscht werden.

Der Grund ist die mögliche Abwehr von Ansprüchen. Abgelehnte Bewerber können Diskriminierung geltend machen. In Deutschland gilt dafür meist eine kurze Frist nach dem AGG. In Österreich können Ansprüche ebenfalls zeitnah entstehen.

Viele Unternehmen speichern Bewerbungsunterlagen deshalb für sechs Monate nach Abschluss des Verfahrens. Diese Frist ist in der Praxis gut begründbar.

Wichtig ist aber: Sechs Monate sind kein Freifahrtschein. Du musst die Frist begründen und dokumentieren.

Für einfache Rollen mit geringem Risiko können drei Monate ausreichend sein. Für komplexe Verfahren oder Positionen mit höherem Streitrisiko können sechs Monate sinnvoll sein.

Länger solltest du Daten nur speichern, wenn ein konkreter Anlass besteht. Ein laufender Rechtsstreit wäre so ein Anlass.

Wann beginnt die Löschfrist?

Die Frist beginnt nicht automatisch mit dem Bewerbungseingang. Sie beginnt sinnvollerweise mit dem Ende des Bewerbungsverfahrens.

Das kann einer dieser Zeitpunkte sein:

  • Versand der Absage an die Person
  • Abschluss der finalen Auswahlrunde
  • Vertragsunterzeichnung mit der ausgewählten Person
  • endgültige Schließung der Stelle

Lege einen klaren Auslöser fest. Sonst weiß später niemand, wann gelöscht werden muss.

Die beste Praxis ist einfach: Jede Bewerbung bekommt einen Status und ein Datum. Bei „abgelehnt“ oder „Stelle besetzt“ setzt dein System automatisch ein Löschdatum.

HireSift kann solche Statuswechsel und Fristen strukturiert abbilden. Damit landet Löschung nicht als Erinnerung in irgendeiner Excel-Liste.

Was musst du wirklich löschen?

Löschen bedeutet nicht nur, eine Bewerbung aus der Kandidatenliste zu entfernen. Du musst alle relevanten Kopien prüfen.

Dazu gehören:

  • Dateien im ATS oder Bewerbermanagementsystem
  • PDFs in Cloud-Ordnern
  • E-Mail-Anhänge in Postfächern
  • Exportdateien in Excel oder CSV
  • Notizen in Projektmanagement-Tools
  • Kalenderanhänge und Interviewdokumente
  • Backups nach Ablauf des Backup-Zyklus

Besonders kritisch sind Schattenkopien. Sie entstehen, wenn Recruiter Lebensläufe herunterladen und lokal speichern.

Ein gutes Löschkonzept verhindert solche Kopien. Nutze zentrale Systeme, klare Rechte und möglichst wenig Download-Freiheit.

Talentpool: Nur mit Einwilligung und eigener Frist

Ein Talentpool ist erlaubt. Er braucht aber eine separate Grundlage.

Die sauberste Variante ist eine freiwillige Einwilligung. Kandidaten müssen verstehen, wofür ihre Daten gespeichert werden.

Die Einwilligung sollte enthalten:

  • Zweck des Talentpools
  • Art der gespeicherten Daten
  • geplante Speicherdauer
  • Hinweis auf Widerruf
  • Kontakt für Datenschutzfragen

Speichere Talentpool-Daten nicht unbegrenzt. Ein sinnvoller Zeitraum liegt meist bei zwölf Monaten. Danach fragst du erneut oder löschst die Daten.

Wichtig: Eine Einwilligung darf nicht versteckt sein. Sie gehört nicht in eine allgemeine Datenschutzerklärung als Nebenabsatz.

Nutze eine eigene Checkbox. Sie darf nicht vorausgewählt sein.

Sonderfall: Initiativbewerbungen

Initiativbewerbungen haben keinen klaren Stellenbezug. Trotzdem brauchst du einen Zweck.

Du kannst die Bewerbung für passende offene Rollen prüfen. Wenn keine passende Rolle existiert, musst du zeitnah entscheiden.

Entweder du holst eine Talentpool-Einwilligung ein. Oder du löschst die Daten nach einer kurzen Prüffrist.

Eine pauschale Speicherung „für später“ ist nicht sauber. Auch hier hilft ein automatischer Workflow.

KI-Screening: Scores und Kriterien nicht vergessen

Bei KI im Recruiting entstehen zusätzliche Daten. Dazu zählen Matching-Scores, Kriterienbewertungen und Zusammenfassungen.

Diese Daten müssen gemeinsam mit der Bewerbung gelöscht werden. Es wäre falsch, nur das PDF zu löschen und den Score zu behalten.

Auch Trainingsdaten sind relevant. Wenn ein Anbieter Bewerberdaten für Modelltraining nutzt, brauchst du eine sehr klare Rechtsgrundlage.

Prüfe deshalb deinen Auftragsverarbeitungsvertrag. Er sollte ausschließen, dass Bewerberdaten ohne deine Freigabe für Training genutzt werden.

Bei sensiblen Rollen solltest du außerdem protokollieren, welche Kriterien verwendet wurden. Das hilft bei Auskunftsersuchen und Beschwerden.

So baust du ein praktisches Löschkonzept

Ein Löschkonzept muss nicht kompliziert sein. Es muss aber konkret sein.

Starte mit diesen fünf Bausteinen:

1. Datenarten definieren Liste auf, welche Bewerberdaten du verarbeitest. Nenne Dateien, Notizen, Scores, E-Mails und Exporte.

2. Zwecke zuordnen Ordne jeder Datenart einen Zweck zu. Beispiel: Auswahlentscheidung, Kommunikation, Anspruchsabwehr oder Talentpool.

3. Fristen festlegen Lege pro Zweck eine Frist fest. Für abgelehnte Bewerber meist drei bis sechs Monate. Für Talentpool meist zwölf Monate.

4. Verantwortliche benennen Bestimme, wer Löschläufe prüft. Datenschutz darf nicht nur eine HR-Nebenaufgabe sein.

5. Nachweise speichern Dokumentiere, wann gelöscht wurde. Speichere aber keine unnötigen Inhaltsdaten im Löschprotokoll.

Ein einfacher Nachweis reicht oft: Kandidaten-ID, Löschdatum, Datenkategorie und ausführende Person oder Systemaktion.

Muster-Fristen für dein Recruiting

Diese Fristen sind ein praktikabler Ausgangspunkt:

  • Abgelehnte Bewerber: drei bis sechs Monate nach Absage
  • Eingestellte Bewerber: Überführung relevanter Daten in die Personalakte
  • Talentpool: zwölf Monate, danach erneute Einwilligung
  • Initiativbewerbungen ohne passende Rolle: ein bis drei Monate
  • Interviewnotizen: gleiche Frist wie die Bewerbung
  • KI-Scores und Screening-Zusammenfassungen: gleiche Frist wie die Bewerbung
  • Backups: Löschung nach regulärem Backup-Zyklus

Passe diese Werte an dein Risiko an. Dokumentiere die Entscheidung kurz.

Häufige Fehler in HR-Teams

Der häufigste Fehler ist fehlende Zuständigkeit. Niemand fühlt sich verantwortlich, bis ein Auskunftsersuchen kommt.

Der zweite Fehler sind manuelle Exporte. CSV-Dateien werden erstellt, verschickt und nie gelöscht.

Der dritte Fehler ist ein Talentpool ohne echte Einwilligung. Das wirkt praktisch, ist aber rechtlich schwach.

Der vierte Fehler betrifft KI-Tools. Teams löschen das Originaldokument, behalten aber Analyseergebnisse und Scores.

Der fünfte Fehler ist fehlende Kontrolle bei E-Mails. Bewerbungen bleiben jahrelang in persönlichen Postfächern.

Was du bei Auskunft und Löschersuchen beachten musst

Kandidaten können Auskunft verlangen. Sie können auch Löschung verlangen, wenn keine Rechtsgrundlage mehr besteht.

Du solltest deshalb wissen, wo Bewerberdaten liegen. Sonst wird jedes Ersuchen zur Suchaktion.

Eine gute Praxis ist ein zentrales Kandidatenprofil. Von dort aus steuerst du Status, Frist und Löschung.

Wenn du Daten wegen Anspruchsabwehr noch aufbewahrst, erkläre das transparent. Lösche danach automatisch.

Fazit: Löschung ist ein Recruiting-Prozess

Bewerberdaten löschen ist keine technische Nebensache. Es ist ein fester Teil deines Recruiting-Prozesses.

Die wichtigste Regel lautet: Speichere nur so lange, wie du einen klaren Zweck hast. Für abgelehnte Bewerber sind drei bis sechs Monate meist vertretbar.

Für Talentpools brauchst du eine eigene Einwilligung und eine eigene Frist. KI-Scores, Notizen und Exporte gehören in denselben Löschprozess.

Wenn du das sauber aufsetzt, reduzierst du Datenschutzrisiken deutlich. Gleichzeitig wird dein Recruiting übersichtlicher.

HireSift hilft dir, Bewerbungen strukturiert zu verwalten, Kriterien nachvollziehbar zu dokumentieren und Löschfristen nicht zu vergessen. So bleibt dein Prozess schnell, fair und DSGVO-bewusst.

Weniger screenen. Mehr einstellen.

HireSift analysiert 100 CVs in Minuten — mit zwei transparenten Scores, EU AI Act konform, ohne Kreditkarte.

7 Tage kostenlos testen

Weitere Artikel

Datenschutz-Folgenabschätzung bei KI-Recruiting: Pflicht oder Kür?
Recht & Compliance

Datenschutz-Folgenabschätzung bei KI-Recruiting: Pflicht oder Kür?

Wann brauchst du eine DSFA für KI im Recruiting? Schritt-für-Schritt-Anleitung zur Datenschutz-Folgenabschätzung – DSGVO-konform und praxisnah.

30. April 20267 Min
CLOUD Act und US-Anbieter im Recruiting: Was HR-Teams wissen müssen
Recht & Compliance

CLOUD Act und US-Anbieter im Recruiting: Was HR-Teams wissen müssen

Der CLOUD Act gibt US-Behörden Zugriff auf Daten bei US-Cloud-Anbietern – auch auf Bewerberdaten in Greenhouse, Workday oder Lever. Was das für dein Recruiting bedeutet.

28. April 20267 Min
AVV Auftragsverarbeitung für HR-Tools: Was Personaler wirklich prüfen müssen
Recht & Compliance

AVV Auftragsverarbeitung für HR-Tools: Was Personaler wirklich prüfen müssen

Ein AVV ist bei HR-Software Pflicht — aber was muss drin stehen? Dieser Leitfaden erklärt Art. 28 DSGVO praxisnah für Personalabteilungen.

26. April 20267 Min