Bewerber*innendaten löschen: Was muss ich beachten?

Wie vernichtet man Bewerber*innendaten richtig und wann ist der korrekte Zeitpunkt? Auch wenn sich darum meist die Rechtsabteilung kümmert, sollten Personalverantwortliche und Jobsuchende ebenfalls ein wenig darüber Bescheid wissen. Als Nicht-Jurist*in tut man sich mit den gesetzlichen Vorgaben aber oft schwer. Wir haben bei unserer Rechtsabteilung nachgefragt und verständliche Informationen erhalten.

Datenvernichtung bei Jobabsage #

Ein Absageschreiben an eine Kandidat*in zu schicken ist keine schöne Sache – und spätestens seit Inkrafttreten der DSGVO auch eine sehr heikle. Denn was passiert mit den persönlichen Daten, die die Bewerber*in mittels Lebenslauf ans Unternehmen geschickt hat? Diese müssen, so viel dürfte bekannt sein, gelöscht werden. In welchem Zeitraum, das ist gesetzlich festgelegt. Hier kommt das Gleichbehandlungsgesetz ins Spiel.

6 + 1 Monate Aufbewahrungsfrist für etwaige Einsprüche #

Wenn eine Bewerber*in nachweisen kann, dass er oder sie aufgrund einer Ungleichbehandlung, also aufgrund von Geschlecht, Alter oder einer Behinderung, den Job nicht bekommen hat, kann die Person innerhalb von sechs Monaten dagegen klagen. Diese Frist müssen Unternehmen abwarten, dazu kommt ein Monat, um zu reagieren. Nach sieben Monaten müssen die personenbezogenen Daten dann gelöscht werden.

Da sich die meisten Recruiter*innen aber die Bewerbungsunterlagen von interessanten Kandidat*innen für später aufheben, also „in Evidenz halten“, wird in den Absagemails üblicherweise um Zustimmung zur Datenspeicherung gebeten. Erteilt die Kandidat*in diese Einwilligung, darf das Unternehmen die personenbezogenen Daten aus dem Lebenslauf so lange speichern, bis er oder sie die Zustimmung widerruft.

Daten löschen bei Active Sourcing #

Einen Unterschied gibt es, wenn sich jemand nicht selbst beworben hat, sondern von Recruiter*innen über soziale Netzwerke direkt kontaktiert wurde. Schickt die Kandidat*in daraufhin den Lebenslauf und wird abgelehnt, müssen trotzdem alle personenbezogenen Daten gelöscht werden (außer die Bewerber*in erlaubt die Speicherung). Der Link zum jeweiligen Profil darf aber, da er öffentlich zugänglich ist, behalten werden – etwa, um auf einer Blacklist festzuhalten, wer bereits kontaktiert und wem abgesagt wurde. In diesem Link steht jedoch üblicherweise der Name, der auch zu den personenbezogenen Daten gehört ...

Kein Schreddern nötig: „Löschen“ heißt nicht löschen #

Wie löscht man Daten nun aber richtig? Die gute Nachricht für Unternehmen: Man muss keine Festplatten schreddern, um Bewerber*innendaten gesetzeskonform zu vernichten. Darum geht es nämlich gar nicht. Denn „löschen“ bedeutet laut Gesetzestext nicht „zerstören“, sondern „anonymisieren“. Wichtig ist, dass die personenbezogenen Daten danach keiner Person mehr eindeutig zugeordnet und nicht einfach wiederhergestellt werden können. Sie einfach in den (digitalen) Papierkorb zu werfen, ist also nicht genug.

In einer Entscheidung der Datenschutzbehörde heißt es dazu: „Da die DSGVO auf Daten ohne Personenbezug keine Anwendung findet, ist die Entfernung des Personenbezugs (also die ‚Anonymisierung‘) grundsätzlich ein mögliches Mittel, um dem Löschungsbegehren zu entsprechen. Dabei gilt jedoch ein strenger Maßstab, wonach sichergestellt sein muss, dass weder der Verantwortliche selbst noch ein Dritter ohne unverhältnismäßigen Aufwand den Personenbezug wiederherstellen kann.“ (Art. 17, DSGVO)

Daten im Online-Account: das Löschungsbegehren #

Wie ist das nun aber, wenn eine Kandidat*in sich online in einem Talentepool registriert hat, um Jobangebote zu erhalten, und die Daten gelöscht haben möchte? Dann kann die Person ein Löschungsbegehren einbringen, dem innerhalb eines Monats entsprochen werden muss. Bei besonders komplexen Verarbeitungsprozessen hat das Unternehmen drei Monate dafür Zeit. Auch hier gilt wieder: Anonymisieren reicht aus, vollständiges Löschen ist nicht nötig.

Datenvernichtung bei Personalwechsel: wenn Mitarbeiter*innen ausscheiden #

Sehr viel schwieriger ist der Sachverhalt beim Thema Kündigung, denn bei ausscheidenden Mitarbeiter*innen gibt es unterschiedliche Rechtsgrundlagen und Löschfristen zu beachten. Überraschenderweise müssen die Daten von Mitarbeitenden nach deren Kündigung aber eher gespeichert als gelöscht werden. Die Erklärung ist einleuchtend: Man kann gemäß § 1163 in Verbindung mit § 1478 des Allgemeinen Bürgerlichen Gesetzbuchs bis 30 Jahre nach dem Ausscheiden ein Dienstzeugnis vom ehemaligen Arbeitgeber einfordern. Um das zu schreiben, benötigt man eben eine Vielzahl an Informationen. Außerdem müssen gewisse Daten aus steuerrechtlichen Gründen bis zu sieben Jahren aufgehoben werden.