Datenschutz bei Bewerbungsunterlagen
Eine Bewerbung ist ein dichtes Paket sensibler Daten mit einem klaren Anfang und einem rechtlich gebotenen Ende. Vom Erheben bis zum Löschen entscheidet jeder Schritt über die Rechtskonformität.
Eine Bewerbung ist ein ungewöhnlich dichtes Paket personenbezogener Daten: Lebenslauf, Zeugnisse, Anschreiben, oft ein Foto, manchmal Gesundheits- oder Herkunftsangaben, die niemand abgefragt hat und die sich dennoch aus den Unterlagen ergeben. Sie hat einen klaren Anfang – den Eingang der Bewerbung – und, anders als viele Datenbestände, ein rechtlich gebotenes Ende. Wer Bewerbungen entgegennimmt, verarbeitet diese Daten als Verantwortlicher und trägt die Pflichten der DSGVO über den gesamten Lebenszyklus: vom Erheben über das Speichern bis zum Löschen. Dieser Beitrag folgt diesem Weg chronologisch und ordnet, was in jeder Phase rechtlich gilt – mit dem Schwerpunkt, der in der Praxis am häufigsten übersehen wird: dem geordneten Ende der Speicherung.
- Eine Bewerbung als Datenpaket mit Verfallsdatum
- Was erhoben werden darf – und was nicht
- Auf welcher Grundlage Bewerberdaten verarbeitet werden
- Die Informationspflicht gegenüber Bewerbern
- Wie lange Unterlagen bleiben dürfen
- Talentpool: Aufbewahren nur mit Einwilligung
- Sicher entgegennehmen und speichern
- Sonderfälle: Foto und automatisierte Vorauswahl
- Die Aufbewahrung im Überblick
- Checkliste: bereit fürs Löschen
- Fazit
Eine Bewerbung als Datenpaket mit Verfallsdatum
Der Grundsatz, der den gesamten Umgang mit Bewerberdaten trägt, ist die Speicherbegrenzung aus Artikel 5 DSGVO: Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie es für den Zweck erforderlich ist. Bei einer Bewerbung ist dieser Zweck eng umrissen – die Entscheidung über die Besetzung einer Stelle. Ist diese Entscheidung gefallen, entfällt für abgelehnte Bewerbungen der ursprüngliche Zweck, und die Daten dürfen nicht unbegrenzt liegen bleiben.
Daneben gilt die Datenminimierung: Schon bei der Erhebung sollte nur erfasst werden, was für die Auswahl tatsächlich erforderlich ist. Beide Grundsätze zusammen geben dem Bewerbungsdatensatz seinen Lebenszyklus – einen Anfang, der auf das Notwendige beschränkt ist, und ein Ende, das nicht dem Zufall überlassen wird. Wer diesen Lebenszyklus von vornherein mitdenkt, vermeidet die häufigste Beanstandung in diesem Bereich: Unterlagen, die Jahre nach einer Absage noch in Postfächern, Laufwerken und Bewerbermanagementsystemen liegen.
Was erhoben werden darf – und was nicht
Am Anfang steht die Frage, welche Daten überhaupt erhoben werden dürfen. Der Maßstab ist die Erforderlichkeit für die konkrete Stelle. Name, Kontaktdaten, Qualifikationen, Berufserfahrung und Zeugnisse sind regelmäßig erforderlich. Nicht erforderlich – und damit unzulässig zu erfragen – sind Angaben, die mit der Eignung nichts zu tun haben: Familienstand, Schwangerschaft, religiöse oder politische Überzeugung, Gewerkschaftszugehörigkeit oder Gesundheitsdaten ohne konkreten Stellenbezug. Viele dieser Merkmale sind zugleich nach dem Allgemeinen Gleichbehandlungsgesetz geschützt, sodass ihre Erhebung nicht nur datenschutzrechtlich, sondern auch diskriminierungsrechtlich heikel ist.
Eng mit der Erhebung verbunden ist das sogenannte Fragerecht des Arbeitgebers. Zulässig sind nur Fragen, an deren Beantwortung ein berechtigtes, billigenswertes und schutzwürdiges Interesse mit Blick auf die konkrete Stelle besteht. Bei unzulässigen Fragen – etwa nach einer Schwangerschaft – muss der Bewerber nicht wahrheitsgemäß antworten, ohne dass ihm daraus ein Nachteil entstehen darf. Diese arbeitsrechtliche Grenze deckt sich weitgehend mit dem datenschutzrechtlichen Grundsatz der Erforderlichkeit: Was nicht gefragt werden darf, darf auch nicht erhoben und gespeichert werden.
Eine besondere Vorsicht gilt den besonderen Kategorien personenbezogener Daten nach Artikel 9 DSGVO. Ihre Verarbeitung ist grundsätzlich untersagt. Das Problem im Bewerbungskontext ist, dass solche Daten oft unbeabsichtigt mitgeliefert werden – etwa Hinweise auf eine Schwerbehinderung in den Unterlagen oder Rückschlüsse auf Herkunft und Religion aus einem Foto. Verantwortliche sollten solche Angaben nicht aktiv erheben und, wo sie unverlangt eintreffen, sie nicht zur Grundlage der Entscheidung machen.
Auf welcher Grundlage Bewerberdaten verarbeitet werden
Jede Verarbeitung braucht eine Rechtsgrundlage. Für Bewerbungen liegt sie am nächsten in der Anbahnung eines Beschäftigungsverhältnisses: Nach Artikel 6 Absatz 1 Buchstabe b DSGVO ist die Verarbeitung zulässig, wenn sie zur Durchführung vorvertraglicher Maßnahmen auf Anfrage der betroffenen Person erforderlich ist – und eine Bewerbung ist genau das. Für darüber hinausgehende Verarbeitungen kann das berechtigte Interesse nach Buchstabe f tragen, sofern eine Abwägung dies stützt.
In Deutschland war über Jahre § 26 BDSG die zentrale Norm des Beschäftigtendatenschutzes, der die Verarbeitung zur Begründung eines Beschäftigungsverhältnisses erlaubt. Diese Vorschrift steht jedoch rechtlich unter Vorbehalt. Der Europäische Gerichtshof entschied 2023, dass generalklauselartige nationale Regelungen keine im Sinne von Artikel 88 DSGVO „spezifischere Vorschrift" darstellen und damit gegen die vorrangige DSGVO verstoßen; die deutsche Norm gilt seither als nur teilweise anwendbar und eng auszulegen. Ein eigenes Beschäftigtendatengesetz ist in Vorbereitung, war zum Redaktionszeitpunkt aber noch nicht in Kraft. Praktisch bedeutet das: Wer die Rechtsgrundlage sauber dokumentieren will, stützt die Verarbeitung von Bewerberdaten vorrangig auf die vertragliche Anbahnung und prüft den aktuellen Stand der Gesetzgebung, statt sich allein auf die nationale Sondernorm zu verlassen.
Ungeachtet der Wahl der Grundlage gilt: Die Verarbeitung muss auf den Bewerbungszweck beschränkt bleiben. Daten, die im Rahmen einer Bewerbung erhoben wurden, dürfen nicht ohne Weiteres für andere Zwecke – etwa Marketing oder den Aufbau eines dauerhaften Kandidatenprofils – weiterverwendet werden. Eine solche Zweckänderung bräuchte ihrerseits eine eigene Grundlage. Die Rechtsgrundlage ist damit nicht nur eine Frage des Ob, sondern auch des Wofür.
Die Informationspflicht gegenüber Bewerbern
Mit der Erhebung entsteht eine Pflicht, die im Bewerbungsalltag oft untergeht: die Information der betroffenen Person nach Artikel 13 DSGVO. Sobald ein Unternehmen eine Bewerbung erhält, verarbeitet es personenbezogene Daten und muss den Bewerber darüber unterrichten – wer verantwortlich ist, zu welchem Zweck und auf welcher Grundlage verarbeitet wird, wie lange die Daten gespeichert bleiben und welche Rechte bestehen. Diese Information muss zum Zeitpunkt der Erhebung vorliegen, nicht erst auf Nachfrage, und sie muss verständlich und leicht zugänglich sein.
In der Praxis empfiehlt sich eine eigene Datenschutzerklärung für Bewerber, getrennt von der allgemeinen Datenschutzerklärung der Website. Der häufigste Fehler ist, Bewerber pauschal auf die allgemeine Erklärung zu verweisen, die ihren besonderen Fall – Aufbewahrungsfristen, Talentpool, etwaige automatisierte Vorauswahl – nicht abbildet. Eine zugeschnittene Bewerber-Datenschutzerklärung benennt die Speicherdauer je nach Ausgang, weist auf die Freiwilligkeit eines Fotos hin und erläutert, ob und wie KI bei der Sichtung eingesetzt wird und dass am Ende ein Mensch entscheidet.
Die Informationspflicht ist kein Selbstzweck. Sie macht die Verarbeitung für die betroffene Person nachvollziehbar und ist zugleich die Voraussetzung dafür, dass Bewerber ihre weiteren Rechte – Auskunft, Berichtigung, Löschung und Widerspruch – überhaupt ausüben können. Wer hier von Anfang an transparent ist, vermeidet Rückfragen und Beschwerden und dokumentiert nebenbei die eigene Rechtskonformität. Transparenz am Anfang erleichtert damit das geordnete Ende.
Wie lange Unterlagen bleiben dürfen
Wie lange darf ich Bewerbungsunterlagen aufbewahren?
Hier liegt die meistgestellte Frage – und eine, auf die es keine starre Gesetzeszahl gibt. Die DSGVO nennt keine konkrete Frist, sondern verlangt Löschung, sobald der Zweck entfällt. In der deutschen Praxis hat sich gleichwohl ein Orientierungswert herausgebildet, der sich nicht aus dem Datenschutzrecht, sondern aus dem Diskriminierungsrecht herleitet: Nach einer Absage kann eine abgelehnte Person Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz geltend machen, wofür eine kurze Frist gilt; an diese Klagefrist, ergänzt um einen angemessenen Puffer für ein etwaiges Verfahren, lehnt sich eine Aufbewahrung von in der Regel etwa sechs Monaten nach der Absage an.
Wichtig ist die Einordnung: Diese rund sechs Monate sind kein gesetzlich fixierter Wert, sondern eine an die Rechtslage angelehnte, begründbare Praxis. Maßgeblich bleibt der Zweck. Solange ein Verfahren läuft, dürfen die Unterlagen aller Bewerber dafür vorgehalten werden; ist es abgeschlossen, beginnt für die abgelehnten Bewerbungen die Frist, nach deren Ablauf zu löschen ist. Wer länger aufbewahren möchte, braucht dafür einen eigenen Grund – und der liegt regelmäßig nur in einer Einwilligung.
Hinter der knappen Bemessung steht ein handfester Grund. Jeder zusätzliche Monat, in dem Bewerbungsunterlagen aufbewahrt werden, vergrößert die Menge sensibler Daten, die bei einem Sicherheitsvorfall offengelegt werden könnten. Ein Datenbestand alter, längst nicht mehr benötigter Bewerbungen ist ein unnötiges Risiko – er bringt keinen Nutzen mehr, kann aber im Fall einer Datenpanne erheblichen Schaden anrichten. Die zügige Löschung ist deshalb nicht nur eine Pflicht aus der Speicherbegrenzung, sondern auch eine wirksame Maßnahme zur Risikoreduktion.
Talentpool: Aufbewahren nur mit Einwilligung
Häufig möchten Arbeitgeber die Unterlagen aussichtsreicher, aber aktuell nicht passender Bewerber für künftige Stellen behalten. Das ist zulässig, aber nicht voraussetzungslos. Da der ursprüngliche Zweck mit der Absage entfällt, braucht die weitere Speicherung eine neue Grundlage, und das ist in aller Regel die ausdrückliche Einwilligung der betroffenen Person nach Artikel 7 DSGVO. Diese Einwilligung muss freiwillig, informiert und nachweisbar sein, und sie ist jederzeit widerrufbar.
In der Umsetzung heißt das: Die betroffene Person wird gefragt, ob ihre Unterlagen für einen begrenzten Zeitraum im Talentpool verbleiben dürfen; sie erfährt, zu welchem Zweck und wie lange; und der Widerruf ist so einfach wie die Erteilung. Eine stillschweigende oder unbegrenzte Aufnahme in einen Talentpool ist nicht zulässig. Auch hier gilt die Speicherbegrenzung: Nach Ablauf des vereinbarten Zeitraums ist erneut zu fragen oder zu löschen.
Die Einwilligung sollte zudem getrennt vom eigentlichen Bewerbungsvorgang eingeholt und gesondert dokumentiert werden, damit nachvollziehbar bleibt, wer wann und wofür zugestimmt hat. Diese Trennung erleichtert es, einem Widerruf unmittelbar nachzukommen, ohne den übrigen Datenbestand zu berühren. Eine im System klar gekennzeichnete Einwilligungsgrundlage verhindert außerdem, dass Talentpool-Daten versehentlich wie reguläre, fristgebundene Bewerbungen behandelt werden – oder umgekehrt fristgebundene Unterlagen über ihre Frist hinaus liegen bleiben.
Sicher entgegennehmen und speichern
Wie werden Bewerbungsunterlagen sicher übermittelt und gespeichert? Bewerbungen enthalten geballt schützenswerte Daten, weshalb Artikel 32 DSGVO ein dem Risiko angemessenes Schutzniveau verlangt – beim Eingang ebenso wie bei der Speicherung. Der verbreitete Weg, die Bewerbung als unverschlüsselten E-Mail-Anhang an eine allgemeine Adresse, ist in mehrfacher Hinsicht heikel: Die Übertragung ist nur teilstreckenweise geschützt, die Unterlagen bleiben dauerhaft im Postfach liegen, und der Empfängerkreis ist oft größer als nötig. Warum E-Mail dafür ungeeignet ist, vertieft der Beitrag Personenbezogene Daten sicher versenden: Was die DSGVO verlangt; der Umgang mit den Unterlagen als Dokumente wird in Vertrauliche Dokumente sicher versenden – Schritt für Schritt behandelt.
Vorzugswürdig ist ein geschützter Eingangskanal, über den Bewerber ihre Unterlagen verschlüsselt einreichen, ohne sie ungesichert per Mail zu versenden – etwa ein sicheres Postfach (secure inbox), das den Inhalt geschützt entgegennimmt. Für die anschließende Speicherung gelten dieselben Grundsätze: verschlüsselte Ablage, ein enger, berechtigter Zugriffskreis und – sofern ein Bewerbermanagementsystem eines Dienstleisters genutzt wird – ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO. Je weniger Kopien an je weniger Orten existieren, desto leichter fällt am Ende das vollständige Löschen.
Ergänzend gehört zur sicheren Speicherung ein durchdachtes Berechtigungskonzept: Zugriff erhält nur, wer die Unterlagen für die Auswahlentscheidung tatsächlich benötigt – typischerweise die zuständige Personalstelle und die am Verfahren beteiligten Fachverantwortlichen, nicht ein offener Verteiler oder ein für alle einsehbarer Ordner. Jede zusätzliche zugriffsberechtigte Person und jeder zusätzliche Speicherort erhöhen sowohl das Risiko einer versehentlichen Offenlegung als auch den Aufwand der späteren Löschung. Wer die Zahl der Kopien und Zugriffe von Anfang an klein hält, erfüllt die Anforderungen des Artikels 32 nicht nur leichter, sondern macht auch das geordnete Ende des Lebenszyklus erst praktikabel. So greifen technische und organisatorische Maßnahmen ineinander, statt einander zu ersetzen.
Sonderfälle: Foto und automatisierte Vorauswahl
Ist ein Bewerbungsfoto zulässig oder verpflichtend?
Ein Bewerbungsfoto ist rechtlich nicht verpflichtend, und ein Arbeitgeber darf es nicht verlangen. Es ist freiwillig: Bewerber können eines beifügen, müssen aber nicht. Der Grund liegt weniger im Datenschutz allein als im Zusammenspiel mit dem Diskriminierungsrecht – ein Foto lässt Rückschlüsse auf Merkmale zu, die für die Eignung irrelevant und nach dem Allgemeinen Gleichbehandlungsgesetz geschützt sind. Wer den datenschutzfreundlichen Weg geht, verzichtet auf das Foto als Anforderung und behandelt ein freiwillig beigefügtes zurückhaltend.
Zunehmend kommt KI bei der Vorauswahl zum Einsatz – etwa zum Sichten und Sortieren eingehender Bewerbungen. Damit berührt das Bewerbungsverfahren Artikel 22 DSGVO, der ausschließlich automatisierte Entscheidungen mit erheblicher Wirkung beschränkt. Eine vollautomatische Absage ohne menschliche Beteiligung fällt in diesen Bereich und ist nur unter engen Voraussetzungen zulässig. Entscheidend ist eine echte, inhaltliche menschliche Kontrolle, nicht das bloße Abnicken einer Systemempfehlung. Die weiteren datenschutzrechtlichen Anforderungen an den KI-Einsatz behandelt der Beitrag KI und Datenschutz: die rechtlichen Herausforderungen.
Die Aufbewahrung im Überblick
Die folgende Übersicht ordnet die typischen Konstellationen und macht sichtbar, dass die Dauer nicht pauschal, sondern nach Anlass zu bestimmen ist:
| Konstellation | Rechtsgrundlage | Orientierung für die Dauer | Auslöser fürs Löschen |
|---|---|---|---|
| Laufendes Verfahren | vertragliche Anbahnung (Art. 6 Abs. 1 lit. b) | für die Dauer des Verfahrens | Abschluss des Verfahrens |
| Abgelehnte Bewerbung | Anbahnung / berechtigtes Interesse | i. d. R. etwa sechs Monate, an der AGG-Klagefrist plus Puffer orientiert | Ablauf der Frist nach der Absage |
| Aufnahme in den Talentpool | Einwilligung (Art. 7) | so lange wie eingewilligt, längstens angemessen | Widerruf oder Fristablauf |
| Einstellung | Übergang in die Personalakte | nach den für Personaldaten geltenden Regeln | gesonderte Beurteilung |
Checkliste: bereit fürs Löschen
Die folgende kurze Liste prüft, ob der Umgang mit Bewerberdaten über den Lebenszyklus hinweg trägt – mit besonderem Blick auf das geordnete Ende:
- Ist dokumentiert, auf welcher Rechtsgrundlage Bewerberdaten verarbeitet werden?
- Werden bei der Erhebung nur erforderliche Daten erfasst, und werden besondere Kategorien gemieden?
- Sind Aufbewahrungsfristen je Konstellation definiert und begründet?
- Existiert eine Löschroutine, die nach Fristablauf zuverlässig greift – über alle Speicherorte hinweg?
- Liegt für den Talentpool eine freiwillige, widerrufbare Einwilligung vor?
- Werden Bewerbungen über einen geschützten Kanal entgegengenommen und verschlüsselt gespeichert?
- Besteht bei Nutzung eines Bewerbermanagementsystems ein Auftragsverarbeitungsvertrag?
Bleibt ein Punkt offen, gehört er geklärt, bevor die nächste Bewerbung eingeht.
Fazit
Datenschutz bei Bewerbungsunterlagen ist weniger eine Frage einzelner Verbote als eine Frage des geordneten Lebenszyklus. Am Anfang steht die Beschränkung auf das Erforderliche, in der Mitte die saubere Rechtsgrundlage und ein angemessenes Schutzniveau bei Eingang und Speicherung, am Ende die rechtzeitige, vollständige Löschung – oder, wo gewünscht und eingewilligt, der bewusste Übergang in einen Talentpool.
Der entscheidende und am häufigsten vernachlässigte Punkt ist das Ende. Ein definiertes Löschkonzept, das nach Ablauf der Fristen zuverlässig greift, schützt nicht nur die abgelehnten Bewerber, sondern auch den Arbeitgeber – vor dem Vorwurf, Daten ohne Zweck und ohne Grundlage aufbewahrt zu haben. Wer den Lebenszyklus konsequent zu Ende denkt, macht aus einer rechtlichen Pflicht eine verlässliche Routine.
Immer auf dem Laufenden.
Neue Artikel zu Datenschutz, Compliance und sicherer Datenweitergabe – direkt in Ihr Postfach. Kein Spam, jederzeit abbestellbar.
Alle Funktionen entdeckenBlog-Updates erhalten
Melden Sie sich an und verpassen Sie keinen neuen Beitrag.
Mit der Anmeldung stimmen Sie unserer Datenschutzerklärung zu.