Bewerberdaten löschen: das Löschkonzept, das die DSGVO-Basics übersteigt

Über DSGVO im Recruiting wird viel gesprochen, aber meist nur über die erste Hälfte: Einwilligung einholen, Datenschutzhinweis verlinken, Rechtsgrundlage dokumentieren. Das ist machbar und wird in den meisten Teams auch gemacht. Die zweite Hälfte - die Daten am Ende ihres Zwecks wieder loszuwerden - wird systematisch vergessen, weil sie keinen sichtbaren Nutzen bringt und niemanden drängt. Genau deshalb sitzen in vielen Unternehmen Tausende alte Bewerbungen aus Jahren herum, für deren Aufbewahrung es längst keine Grundlage mehr gibt.

Das Prinzip dahinter heißt Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange aufbewahrt werden, wie es für den Zweck nötig ist, für den sie erhoben wurden. Ist der Bewerbungsprozess abgeschlossen und keine andere Grundlage greift, muss gelöscht werden. Ein Löschkonzept ist der Plan, der das systematisch und nachweisbar tut - statt es dem Zufall und dem Vergessen zu überlassen.

Eine pauschale Frist für Bewerbungsunterlagen gibt es nicht - sie hängt vom Zweck und von der Rechtslage ab. In der Praxis orientieren sich viele Unternehmen für abgelehnte Bewerbungen an der Frist, innerhalb derer noch Ansprüche aus dem Gleichbehandlungsgesetz geltend gemacht werden könnten, plus einem Sicherheitspuffer, und löschen danach. Wichtig ist: Die Frist beginnt mit dem Abschluss des konkreten Bewerbungsverfahrens, nicht mit dem Eingang der Bewerbung, und sie ist eine maximale Aufbewahrungsdauer, kein Muss-Wert.

Für die eingestellte Person ist die Lage anders: Die für das Arbeitsverhältnis relevanten Unterlagen gehen in die Personalakte über und folgen deren eigenen, oft längeren Fristen. Die reinen Bewerbungsunterlagen, die nicht ins Arbeitsverhältnis übergehen, unterliegen aber auch hier der Speicherbegrenzung. Die konkreten Fristen für deinen Fall klärst du mit deinem Datenschutz-Beauftragten - dieser Artikel erklärt die Praxis und ersetzt keine Rechtsberatung.

Es gibt einen legitimen Grund, eine Bewerbung über die Frist hinaus zu behalten: wenn die Person ausdrücklich einwilligt, in deinem Talentpool für künftige Stellen zu bleiben. Das ist ein eigener Zweck mit eigener Rechtsgrundlage - die freiwillige, informierte Einwilligung. Sie muss aktiv erteilt werden, nicht durch Schweigen, und sie muss jederzeit widerrufbar sein. Ein Talentpool, in den Menschen einfach 'reingerutscht' sind, weil niemand gelöscht hat, ist kein Talentpool, sondern ein Datenschutz-Problem.

Die saubere Praxis: Frag bei oder nach der Absage aktiv, ob die Person in deinem Pool bleiben möchte. Bei Ja gilt eine eigene, transparent kommunizierte Frist (oft ein bis zwei Jahre mit Erinnerung). Bei Nein oder Schweigen läuft die normale Lösch-Frist. So bleibt der Pool rechtlich sauber und enthält nur Menschen, die wirklich dort sein wollen.

Vollständiges Löschen ist nicht der einzige Weg. Oft willst du die personenbezogene Spur entfernen, aber die statistische Erkenntnis behalten - etwa wie viele Bewerbungen über welchen Kanal kamen. Hier hilft Anonymisierung: Die identifizierenden Daten (Name, Kontakt, Lebenslauf) werden unwiederbringlich entfernt, während die nicht-personenbezogenen Eckdaten für deine Auswertung erhalten bleiben. Eine sauber anonymisierte Bewerbung ist datenschutzrechtlich keine personenbezogene Daten mehr.

Der Unterschied zur Pseudonymisierung ist wichtig: Pseudonymisiert heißt, die Zuordnung ist über einen Schlüssel noch herstellbar - das ist weiterhin personenbezogen. Anonymisiert heißt, die Zuordnung ist auch mit Aufwand nicht mehr herstellbar. Nur echte Anonymisierung erfüllt die Speicherbegrenzung, während sie dir die aggregierte Statistik erhält. Achte darauf, dass dein Tool wirklich anonymisiert und nicht nur ausblendet.

Der letzte und am häufigsten unterschätzte Teil eines Löschkonzepts ist der Nachweis. Die DSGVO verlangt Rechenschaftspflicht: Du musst belegen können, dass du die Daten fristgerecht gelöscht oder anonymisiert hast. Ein Prozess, der zwar löscht, aber keine Spur hinterlässt, ist im Streitfall fast so schlecht wie keiner - du kannst nicht beweisen, dass du deine Pflicht erfüllt hast.

Ein gutes Tool macht das Löschkonzept zum Default statt zur Hausaufgabe. In KI BMS läuft die Aufbewahrung pro Talent: Du setzt eine Frist, nach deren Ablauf automatisch anonymisiert wird, und jeder Schritt - Setzen der Frist, die Anonymisierung selbst - landet mit Zeitstempel im Audit-Log. So entsteht der Nachweis von allein. Du musst nicht daran denken zu löschen, und du musst nicht von Hand dokumentieren, dass du es getan hast - beides passiert als natürliche Folge des Prozesses.