Wie lange darf ich Bewerberdaten speichern?
In der heutigen Geschäftswelt, wo der Wettbewerb um Talente stetig zunimmt, sind Bewerbungsunterlagen für mittelständische Unternehmen mehr als nur Papierstapel – sie sind das Tor zu potenziellen neuen Mitarbeitern, die wesentlich zum Unternehmenserfolg beitragen können. Doch mit dem Sammeln dieser wertvollen (und personenbezogenen) Daten geht eine große Verantwortung einher. Die Einhaltung der Datenschutz-Grundverordnung (EU-DSGVO) und des Bundesdatenschutzgesetzes (BDSG) ist nicht nur eine rechtliche Notwendigkeit, sondern auch ein Ausdruck von Integrität und Professionalität gegenüber den Bewerbern.
 |
| Frist für Bewerberdaten |
In diesem Artikel beleuchten wir daher die nach der EU-DSGVO zu beachtenden Löschfristen. Unser Ziel ist es, Ihnen praktische Leitlinien an die Hand zu geben, um in diesem wichtigen Bereich sowohl rechtlich abgesichert zu sein, als auch ethisch zu handeln.
Grundsatz der Zweckbindung
Der EU-DSGVO ist zu entnehmen, dass personenbezogene Daten gelöscht werden müssen, sobald ihre Speicherung für ihre ursprünglich vorgesehenen Verarbeitungszwecke nicht mehr erforderlich ist (Art. 5).
Die EU-DSGVO legt aber darüber hinaus keine spezifischen Löschfristen fest. Vielmehr sind diese Fristen in jedem Einzelfall individuell zu bestimmen. Dabei kann und muss auch das nationale Recht zur Bestimmung der Frist herangezogen werden (obwohl das nationale Recht in der Normenhierarchie grundsätzlich unter der EU-DSGVO steht).
Was sagt das BDSG?
In Deutschland wird die EU-DSGVO durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Der § 26 BDSG befasst sich speziell mit der Datenverarbeitung im Beschäftigungskontext. Danach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses "wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung (…) erforderlich ist".
Hier gibt es seit kurzem einen juristischen "Nebenkriegsschauplatz": Diese Vorschrift ist nach einem EuGH - Urteil als europarechtswidrig einzustufen (Urteil v. 30. März 2023 – C-34/21). Das liegt daran, dass § 26 Abs. 1 S. 1 BDSG dem EuGH zufolge lediglich die Voraussetzungen des Art. 6 Abs. 1 lit. b EU-DSGVO wiederholt. Somit ist der Anwendungsbereich der Öffnungsklausel des Art. 88 Abs. 1 EU-DSGVO nicht eröffnet - der deutsche Gesetzgeber hätte den § 26 Abs. 1 S. 1 BDSG nicht (mehr) erlassen dürfen. Wenn aber § 26 Abs. 1 S. 1 BDSG lediglich den Inhalt des Art. 6 Abs. 1 lit. b EU-DSGVO wiederholt und ihm nichts neues hinzufügt, ist für unsere Zwecke dann eben der Wortlaut des § 26 Abs. 1 S. 1 BDSG in Art. 6 Abs. 1 lit. b EU-DSGVO hineinzulesen.
Aber hilft uns das jetzt wirklich weiter bei unserem Versuch, die Löschfristen von Bewerberdaten zu bestimmen? Nur teilweise. Es ist schon einmal ein erster Ansatzpunkt, weil damit feststeht, dass die Speicherung der Bewerberdaten überhaupt zulässig ist. Aber auch Art. 6 Abs. 1 lit. b EU-DSGVO macht keine Aussage dazu, wie lange genau die Daten denn nun gespeichert werden dürfen.
Löschfristen bei abgelehnter Bewerbung
Hier wird das Allgemeine Gleichbehandlungsgesetz (AGG) relevant. Gemäß § 15 AGG haben Personen, die sich aufgrund einer Bewerbung diskriminiert fühlen, das Recht, Schadensersatz- oder Entschädigungsansprüche geltend zu machen. So lange, wie mit einer Klage aus § 15 AGG zu rechnen ist, darf der Arbeitgeber die Bewerberdaten speichern. Die Bewerbungsunterlagen braucht der Arbeitgeber nämlich, um sich im Fall eines Rechtsstreits verteidigen zu können.
Diese Ansprüche müssen zunächst innerhalb von zwei Monaten nach Kenntnis der Ablehnung schriftlich geltend gemacht werden (§ 15 Abs. 4 AGG). Nachdem der Anspruch schriftlich geltend gemacht wurde, muss innerhalb von drei Monaten eine Klage auf Entschädigung nach § 15 AGG erhoben werden. Weil zudem ein "Pufferzeitraum" von einem Monat zugestanden wird, können Sie für die Löschung der Bewerberdaten von einer Frist von sechs Monaten nach der Ablehnung ausgehen.
Wichtig: Damit die Frist zu laufen beginnt, muss der Arbeitgeber dem Arbeitnehmer klar mitteilen, dass seine Bewerbung keine Aussicht auf Erfolg mehr habe (BAG, Urteil v. 29.6.2017, 8 AZR 402/15).
Löschfristen bei zurückgezogener Bewerbung
Auch wenn der Bewerber seine Bewerbung zurückzieht, stellt sich die Frage nach den angemessenen Löschfristen für die dabei erhobenen personenbezogenen Daten. Hierbei ist insbesondere Artikel 17 der Datenschutz-Grundverordnung (EU-DSGVO) relevant, der das "Recht auf Vergessenwerden" regelt. Diese Vorschrift gibt Personen das Recht, die Löschung ihrer personenbezogenen Daten zu verlangen, wenn bestimmte Bedingungen erfüllt sind. Dazu gehört auch der Fall, dass die personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind.
Im Kontext von zurückgezogenen Bewerbungen wäre zu überlegen, ob Bewerber die Löschung ihrer Daten verlangen können, sobald sie ihre Bewerbung zurückziehen. Allerdings trägt der Arbeitgeber die Beweislast für die Zurückziehung der Bewerbung, wenn der Arbeitnehmer Indizien für eine Diskriminierung beweist (§ 22 AGG). Daher ist davon auszugehen, dass auch bei einer zurückgezogenen Bewerbung der Arbeitgeber die Bewerberdaten bis zum Ablauf von sechs Monaten seit der Zurückziehung der Bewerbung speichern darf.
Verarbeitung der Daten für andere Stellen und Initiativbewerbungen
Hin und wieder kommt es vor, dass Bewerber zwar für die ausgeschriebene Stelle nicht passen, aber eventuell zu einem späteren Zeitpunkt für andere Stellen berücksichtigt werden sollen. Die übermittelten Daten sollen also auch für diese Stellen berücksichtigt werden. Dann ist allerdings eine Einwilligung erforderlich, wenn die Daten länger gespeichert werden sollen. In jeder einzelnen Bewerbung ist nämlich ein separater Verarbeitungszweck zu sehen.
Ähnlich ist die Lage bei Initiativbewerbungen. Wenn hier in absehbarer Zeit keine Stellen frei werden, für die der Bewerber in Betracht kommt, sind die Bewerbungsdaten zu löschen. Etwas anderes gilt nur dann, wenn der Bewerber eine Einwilligung abgegeben hat, die den Anforderungen der EU-DSGVO entspricht. Insbesondere muss sie informiert und freiwillig sein.
Fazit
Unternehmen sollten sicherstellen, dass sie durch geeignete interne Abläufe die Löschfristen der EU-DSGVO insbesondere in Verbindung mit BDSG und AGG einhalten. Andernfalls droht ein Bußgeld, wenn es zu einer aufsichtsbehördlichen Prüfung kommt, etwa aufgrund der Beschwerde eines abgelehnten Bewerbers bei der Aufsichtsbehörde nach Art. 77 EU-DSGVO. Außerdem sind sogar Schadensersatzansprüche des abgelehnten Bewerbers nach Art. 82 EU-DSGVO denkbar.
Benötigen Sie Hilfe bei weiteren datenschutzrechtlichen Fragen Hilfe?
Das könnte Sie auch interessieren:
- 16.05.2023: Outlook-Einladungen zu Bewerbungsgesprächen
