Zum Hauptinhalt springen
frag.hugo Datenschutz Hamburg — frag.hugo Informationssicherheit
Angebot
Alle Artikel
BewerberdatenDSGVOBeschäftigtendatenschutz

Bewerberdaten DSGVO: Aufbewahrung, Löschung & Absagen

Bewerberdaten DSGVO-konform: Wie lange aufbewahren, wann löschen (6-Monats-Frist), Absagen rechtssicher formulieren, Talent-Pool mit Einwilligung — Leitfaden Hamburg.

Nils Oehmichen
Nils Oehmichen
Externer DSB · TÜV-zertifiziert
02. Juni 2026

Inhalt in Kürze

  • Rechtsgrundlage für Bewerberdaten ist § 26 Abs. 1 BDSG (i.V.m. Art. 88 DSGVO und Art. 6 Abs. 1 lit. b DSGVO) — die Anbahnung eines Beschäftigungsverhältnisses. Eine Einwilligung brauchen Sie für das laufende Verfahren nicht.
  • Nach einer Absage gilt eine Löschfrist von rund sechs Monaten. Sie leitet sich aus den AGG-Klagefristen ab: zwei Monate Geltendmachung (§ 15 Abs. 4 AGG) plus drei Monate Klagefrist (§ 61b Abs. 1 ArbGG) plus Puffer.
  • Ein Talent-Pool ist nur mit ausdrücklicher Einwilligung zulässig (Art. 6 Abs. 1 lit. a DSGVO), mit klarer Speicherdauer (ein bis zwei Jahre) und Widerrufsrecht.
  • Social-Media-Checks sind weitgehend tabu: Berufsnetzwerke ja, private Profile nein. Maßstab ist die Erforderlichkeit nach § 26 BDSG.

Stand: Juni 2026 · Autor: Nils Oehmichen · Lesezeit: 10 Minuten

Sie haben 80 Bewerbungen auf eine Stelle, eine besetzt, 79 abgesagt — und in Ihrem Postfach, im Recruiting-Tool und im Aktenschrank liegen jetzt 79 Datensätze mit Lebenslauf, Foto, Zeugnissen, teils Gesundheitsangaben. Wie lange dürfen die da liegen? Ab wann müssen sie weg? Und was schreiben Sie eigentlich in die Absage, ohne sich angreifbar zu machen? Genau diese Fragen klären wir hier — mit konkreten Fristen, einer Löschtabelle und den Stolperfallen, die wir bei Hamburger Mandanten am häufigsten sehen.

Hamburg-Praxis:

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat im Juni 2024 eine eigene Information „Bewerberdatenschutz und Recruiting“ veröffentlicht — ein klares Signal, dass die Behörde das Thema beobachtet. Beim Hamburger Fachkräftemangel laufen in vielen Betrieben gleichzeitig mehrere Stellen, Bewerberdaten stapeln sich in Postfächern und Tools. Wir sehen bei Mandanten aus Reederei, Handel und Handwerk regelmäßig, dass abgelehnte Bewerbungen jahrelang liegen bleiben — schlicht, weil niemand zuständig ist fürs Löschen.

Bewerberdaten und DSGVO: die Rechtsgrundlage

Sobald jemand eine Bewerbung schickt, verarbeiten Sie personenbezogene Daten — und brauchen dafür eine Rechtsgrundlage. Die gute Nachricht: Sie haben eine, und zwar ohne dass Sie um Einwilligung bitten müssen.

Maßgeblich ist § 26 Abs. 1 BDSG in Verbindung mit Art. 88 DSGVO. Die Norm erlaubt die Verarbeitung von Beschäftigtendaten, soweit sie „für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses“ erforderlich ist. Das umfasst ausdrücklich die Anbahnung — also genau die Bewerbungsphase. Parallel greift Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen auf Antrag der betroffenen Person).

Wichtig ist das Wort erforderlich. Sie dürfen die Daten verarbeiten, die Sie für die Auswahlentscheidung tatsächlich brauchen — Lebenslauf, Zeugnisse, Qualifikationen. Daten, die für die konkrete Stelle nicht relevant sind, dürfen Sie weder verlangen noch dauerhaft speichern.

Tipp:

Weil § 26 BDSG die Bewerbung abdeckt, brauchen Sie für das laufende Verfahren keine Einwilligung. Lassen Sie sich vom Bewerber also nicht pauschal ein Häkchen „Ich willige ein“ setzen — das ist überflüssig und kann sogar schaden, weil eine Einwilligung jederzeit widerrufbar wäre. Eine Einwilligung brauchen Sie nur für Dinge, die über das Verfahren hinausgehen: den Talent-Pool oder Hintergrundprüfungen.

Welche Daten Sie erheben dürfen — und welche nicht

Standard sind die Daten, die in eine Bewerbung gehören: Name, Kontakt, Werdegang, Qualifikation, Zeugnisse. Heikel wird es bei den besonderen Kategorien nach Art. 9 DSGVO — Gesundheit, Religion, Gewerkschaftszugehörigkeit, sexuelle Orientierung.

Diese dürfen Sie grundsätzlich nicht erheben. Eine wichtige Ausnahme regelt § 26 Abs. 3 BDSG: Daten zur Schwerbehinderung dürfen Sie verarbeiten, soweit dies zur Ausübung von Rechten oder Pflichten aus dem Arbeitsrecht erforderlich ist — etwa für die gesetzliche Beschäftigungsquote oder den besonderen Kündigungsschutz. Schickt ein Bewerber unaufgefordert ein ärztliches Attest mit, sollten Sie es nicht in die Akte übernehmen, wenn es für die Stelle nicht erforderlich ist.

Wie lange Bewerberdaten aufbewahren? Die Sechs-Monats-Frist

Die häufigste Frage — und eine, auf die das Gesetz keine direkte Antwort gibt. Weder die DSGVO noch das BDSG nennen eine feste Aufbewahrungsfrist für Bewerbungsunterlagen. Die Frist müssen Sie herleiten. Und genau hier machen viele Betriebe es falsch.

Der Ausgangspunkt: Mit der Absage entfällt der Zweck. Nach Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) müssten die Daten dann sofort weg. Aber: Sie haben ein berechtigtes Interesse daran, sich gegen mögliche Ansprüche verteidigen zu können — und ein abgelehnter Bewerber kann nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) Entschädigung wegen Diskriminierung verlangen. Dafür brauchen Sie die Unterlagen noch.

So setzt sich die Frist zusammen:

  1. Zwei Monate Geltendmachung: Nach § 15 Abs. 4 AGG muss ein abgelehnter Bewerber einen Entschädigungsanspruch innerhalb von zwei Monaten schriftlich geltend machen. Die Frist beginnt mit dem Zugang der Absage.
  2. Drei Monate Klagefrist: Hat er den Anspruch geltend gemacht, hat er nach § 61b Abs. 1 ArbGG weitere drei Monate Zeit, um Klage auf Entschädigung zu erheben.
  3. Puffer: Plus Postlaufzeiten und ein wenig Sicherheitsabstand. In Summe ergibt das rund sechs Monate nach Zugang der Absage.

Diese Herleitung deckt sich mit der Einschätzung von Aufsichtsbehörden und Fachverbänden. Die Landesdatenschutzbehörde Niedersachsen verweist in ihren FAQ ausdrücklich auf die unverzügliche Löschung nach Art. 17 DSGVO, sobald der Zweck entfällt — und der Zweck „Verteidigung gegen AGG-Ansprüche“ entfällt eben nach dieser Sechs-Monats-Spanne.

Das Wichtigste: Die Sechs-Monats-Frist ist kein Gesetz, sondern eine Ableitung aus AGG und ArbGG. Sie ist die Obergrenze — nicht der Standard. Wer keine konkrete Verteidigungsnotwendigkeit hat, darf und sollte früher löschen.
2 Mon.
AGG-Geltendmachung (§ 15 Abs. 4)
3 Mon.
Klagefrist (§ 61b ArbGG)
~6 Mon.
Löschfrist nach Absage
1 Monat
Auskunftsfrist Art. 15

Löschfristen-Tabelle nach Bewerbungsstatus

FallRechtsgrundlageAufbewahrungLöschung
Absage / abgelehnter Bewerber§ 26 BDSG → entfällt mit Absagebis ~6 Monate nach Absagespätestens nach 6 Monaten
Eingestellter Bewerber§ 26 BDSG (geht in Personalakte über)Dauer des Arbeitsverhältnisses + ges. Fristennach Ende gemäß Löschkonzept
Initiativbewerbung (ohne offene Stelle)§ 26 BDSG / berechtigtes Interessewenige Monate, kurzfristignach Prüfung / mangels Stelle zeitnah
Talent-PoolEinwilligung Art. 6 Abs. 1 lit. a1–2 Jahre (in Einwilligung genannt)bei Widerruf oder Fristablauf
Zurückgezogene BewerbungZweck entfällt sofortkeineunverzüglich

Für eingestellte Bewerber wandern die Unterlagen in die Personalakte — dann gelten die Regeln des Beschäftigtendatenschutzes. Mehr dazu in unserem Beitrag Beschäftigtendatenschutz: Was Arbeitgeber dürfen. Wie Sie alle Fristen sauber in einem Dokument zusammenführen, lesen Sie im Löschkonzept DSGVO.

Absagen rechtssicher formulieren

Die Absage ist der gefährlichste Moment im ganzen Prozess — weil hier die AGG-Falle zuschnappt. Das Allgemeine Gleichbehandlungsgesetz verbietet Benachteiligungen wegen Alter, Geschlecht, Herkunft, Religion, Behinderung, sexueller Identität.

Die Regel ist einfach: Begründen Sie nicht. Je konkreter Sie werden, desto größer das Risiko, dass ein Satz als Diskriminierungsindiz gelesen wird. Sätze wie „Wir suchen jemand Jüngeren ins Team“ oder „Die Stelle passt besser zu einer Frau“ sind nicht nur taktlos, sondern liefern direkt die Grundlage für eine Entschädigungsklage.

Vorsicht — AGG-Hopping:

Es gibt Bewerber, die sich gezielt auf Stellen bewerben, um aus Formfehlern eine Entschädigung herauszuholen. Häufig kombiniert mit einer Auskunftsanfrage nach Art. 15 DSGVO, um Munition zu sammeln. Reagieren Sie auf beides ruhig, fristgerecht und ohne angreifbare Begründungen. Eine neutrale Absage ohne inhaltliche Begründung ist hier Ihr bester Schutz.

Die saubere Formulierung lautet sinngemäß: „Wir haben uns für einen anderen Bewerber entschieden, der dem Anforderungsprofil noch besser entspricht. Wir danken für Ihr Interesse.“ Kein Alter, kein Geschlecht, keine konkrete Schwäche. Und: Mit der Absage beginnt die Löschfrist — markieren Sie den Datensatz mit Datum, damit das Löschen nach sechs Monaten nicht vergessen wird.

Talent-Pool: nur mit Einwilligung

Ein guter Bewerber, aber gerade keine passende Stelle — den wollen Sie behalten. Dürfen Sie auch, aber nicht einfach so. Mit der Absage endet die Rechtsgrundlage § 26 BDSG. Wer die Daten länger speichert, braucht eine ausdrückliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

Eine wirksame Einwilligung für den Talent-Pool muss:

  • Freiwillig sein. Keine Vorbedingung für die Bewerbung, kein Druck. Der Bewerber muss „Nein“ sagen können, ohne Nachteil.
  • Die Speicherdauer nennen. Üblich und von Aufsichtsbehörden akzeptiert sind ein bis zwei Jahre. Eine unbegrenzte Speicherung ist unzulässig.
  • Den Zweck benennen. Aufnahme in den Bewerberpool zur möglichen Kontaktaufnahme bei künftigen passenden Stellen.
  • Auf das Widerrufsrecht hinweisen. Der Bewerber kann seine Einwilligung jederzeit ohne Angabe von Gründen widerrufen — dann müssen Sie löschen.

Aufsichtsbehörden in Deutschland sehen eine Speicherung im Pool von ein bis zwei Jahren als angemessen an; manche Unternehmen holen nach Ablauf eine erneute Einwilligung ein. Dokumentieren Sie die Einwilligung sauber — bei einer Prüfung müssen Sie nachweisen, dass jeder Pool-Eintrag freiwillig zugestimmt hat.

Sonderfälle, die regelmäßig schiefgehen

Bewerbung per unverschlüsselter E-Mail. Viele Bewerbungen kommen als E-Mail-Anhang — unverschlüsselt. Sie als Arbeitgeber bieten den Kanal an, also liegt die Verantwortung für angemessene Sicherheit (Art. 32 DSGVO) bei Ihnen. Besser: ein Bewerbungsformular oder Upload-Portal mit Transportverschlüsselung. Mindestens sollten Sie die Postfächer absichern und Bewerbungs-Mails nicht auf privaten Geräten öffnen.

Daten Dritter in den Unterlagen. Lebensläufe und Zeugnisse enthalten oft Namen Dritter — frühere Vorgesetzte als Referenz, Kollegen. Diese Daten dürfen Sie nicht zweckwidrig nutzen und insbesondere keine Referenzperson kontaktieren, ohne dass der Bewerber das angeboten hat.

Initiativbewerbungen ohne konkrete offene Stelle stützen Sie auf § 26 BDSG bzw. ein berechtigtes Interesse — aber nur kurz. Ohne passende Stelle entfällt der Zweck schnell. Wollen Sie sie länger halten, gilt dasselbe wie beim Pool: Einwilligung.

Achtung Social-Media-Check:

Bewerber zu googeln oder ihre privaten Profile zu durchsuchen ist datenschutzrechtlich überwiegend unzulässig. Erlaubt sind berufliche Netzwerke wie LinkedIn oder Xing, die der Bewerber erkennbar zur Stellensuche pflegt. Private Profile (Instagram, Facebook, private Posts) und eine tiefe Internetrecherche ohne konkreten Stellenbezug sind tabu — Maßstab ist die Erforderlichkeit nach § 26 BDSG, und die fehlt bei privaten Daten praktisch immer. Der HmbBfDI weist in seiner Information zum Bewerberdatenschutz ausdrücklich auf diese Grenzen hin.

Auskunfts- und Löschanfragen von Bewerbern

Abgelehnte Bewerber machen zunehmend von ihren Betroffenenrechten Gebrauch. Häufigster Fall: die Auskunft nach Art. 15 DSGVO. Sie müssen dann innerhalb eines Monats vollständig Auskunft erteilen — welche Daten Sie gespeichert haben, zu welchem Zweck, an wen Sie sie weitergegeben haben und wie lange Sie sie speichern.

Das gilt auch für abgelehnte Bewerber, solange deren Daten noch nicht gelöscht sind. Haben Sie nach Ablauf der Sechs-Monats-Frist korrekt gelöscht und es kommt danach eine Anfrage, erteilen Sie eine Negativauskunft — Sie verarbeiten keine Daten mehr. Genau deshalb ist konsequentes Löschen auch Ihr Schutz: Was nicht mehr da ist, kann nicht gegen Sie verwendet werden.

Wie Sie eine solche Anfrage Schritt für Schritt und fristgerecht abarbeiten, zeigt unsere Vorlage in Auskunftsanfrage nach Art. 15 DSGVO beantworten.

Dienstleister und Jobportale: AVV nicht vergessen

Kaum ein Betrieb verwaltet Bewerbungen noch komplett im Haus. Bewerbermanagement-Software, Cloud-Recruiting, Jobbörsen mit Datenweiterleitung — sobald ein externer Dienstleister Bewerberdaten in Ihrem Auftrag verarbeitet, liegt eine Auftragsverarbeitung vor. Dafür ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO Pflicht.

Ohne AVV ist die Datenweitergabe rechtswidrig — ein Punkt, den Aufsichtsbehörden bei Prüfungen schnell finden, weil er sich anhand der Verträge belegen lässt. Prüfen Sie außerdem, ob der Anbieter Daten außerhalb der EU verarbeitet (US-Cloud), und ob ein Standardvertragsklausel-Mechanismus greift.

Innerhalb von 24 Stunden war der Fall geklärt. Der Mandant konnte datenschutzkonform mit seinem Recruiting-Tool weiterarbeiten — vorher fehlte schlicht der Auftragsverarbeitungsvertrag, und niemand hatte daran gedacht. Genau so soll die Arbeit mit einem Datenschutzbeauftragten aussehen: schnell, pragmatisch, ohne den Betrieb auszubremsen.

Nils Oehmichen Nils OehmichenExterner Datenschutzbeauftragter bei frag.hugo

Wenn Sie regelmäßig mit Personalvermittlern oder Zeitarbeitsfirmen arbeiten, kommen weitere Datenflüsse hinzu — dazu mehr in Datenschutz in Personalvermittlung und Zeitarbeit.

Fazit / Ihr nächster Schritt

Bewerberdatenschutz ist kein Hexenwerk, aber er hat scharfe Kanten: die richtige Rechtsgrundlage (§ 26 BDSG), die hergeleitete Sechs-Monats-Löschfrist, die neutrale Absage gegen AGG-Risiken, die Einwilligung für den Talent-Pool und der AVV mit jedem Recruiting-Dienstleister. Wer diese fünf Punkte sauber aufsetzt, hat das Thema im Griff — und liefert bei einer Auskunftsanfrage oder HmbBfDI-Prüfung keinen Angriffspunkt.

Die größte Schwachstelle in der Praxis ist nicht das Wissen, sondern die Routine: dass jemand zuständig ist, die Sechs-Monats-Frist zu überwachen und konsequent zu löschen. Genau hier setzen wir an.

Bewerberdatenschutz rechtssicher aufsetzen — ohne Ihr Recruiting auszubremsen.

Wir prüfen Ihre Bewerbungsprozesse, hinterlegen Löschfristen, formulieren rechtssichere Absage- und Einwilligungsvorlagen und schließen fehlende AVVs. TÜV-zertifizierter DSB, in 7 Werktagen startklar, ab 79 €/Monat. Buchen Sie ein kostenloses 15-Minuten-Erstgespräch.

Kostenloses Erstgespräch buchen →

Mehr zu unserem Angebot als externer Datenschutzbeauftragter in Hamburg und zur großen Datenschutz-Übersicht.

Häufige Fragen (FAQ)

Wie lange darf ich Bewerberdaten nach einer Absage aufbewahren?

In der Regel bis zu sechs Monate nach Zugang der Absage. Diese Frist ergibt sich nicht aus einem festen Gesetz, sondern leitet sich aus den Klagefristen des AGG ab: Ein abgelehnter Bewerber hat zwei Monate Zeit, einen Entschädigungsanspruch geltend zu machen (§ 15 Abs. 4 AGG), und danach drei Monate, um Klage zu erheben (§ 61b Abs. 1 ArbGG). Plus Puffer für Postlaufzeiten ergibt das rund sechs Monate. Danach müssen die Unterlagen gelöscht werden.

Auf welcher Rechtsgrundlage verarbeite ich Bewerberdaten?

Auf § 26 Abs. 1 BDSG in Verbindung mit Art. 88 DSGVO. Die Norm erlaubt die Verarbeitung von Beschäftigtendaten, soweit sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist — und das umfasst ausdrücklich die Anbahnung, also die Bewerbungsphase. Eine zusätzliche Einwilligung brauchen Sie für das laufende Verfahren nicht.

Darf ich Bewerber googeln oder ihr Social-Media-Profil prüfen?

Nur sehr eingeschränkt. Berufliche Netzwerke wie LinkedIn oder Xing, die der Bewerber erkennbar zur Stellensuche pflegt, dürfen Sie ansehen. Rein private Profile (Instagram, Facebook, private Posts) sind tabu, ebenso eine tiefe Internetrecherche ohne konkreten Stellenbezug. Maßstab ist die Erforderlichkeit nach § 26 BDSG — und die ist bei privaten Daten praktisch nie gegeben.

Brauche ich für einen Talent-Pool eine Einwilligung?

Ja. Die Rechtsgrundlage des Bewerbungsverfahrens (§ 26 BDSG) endet mit der Absage. Wollen Sie die Daten länger behalten, um den Kandidaten später erneut anzusprechen, brauchen Sie eine ausdrückliche, freiwillige Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Sie nennen darin die Speicherdauer (üblich ein bis zwei Jahre) und weisen auf das jederzeitige Widerrufsrecht hin.

Was muss ich tun, wenn ein abgelehnter Bewerber Auskunft nach Art. 15 DSGVO verlangt?

Sie müssen innerhalb eines Monats vollständig Auskunft erteilen — über alle gespeicherten Daten, Zwecke, Empfänger und die geplante Speicherdauer. Das gilt auch für abgelehnte Bewerber, solange Sie deren Daten noch nicht gelöscht haben. Kommt die Anfrage, nachdem die Sechs-Monats-Frist abgelaufen und korrekt gelöscht wurde, erteilen Sie eine Negativauskunft.

Brauche ich mit Bewerbermanagement-Software oder Jobportalen einen AVV?

Ja. Sobald ein externer Dienstleister Bewerberdaten in Ihrem Auftrag verarbeitet — Bewerbermanagement-Tool, Cloud-Recruiting, Jobbörse mit Datenweiterleitung — liegt eine Auftragsverarbeitung vor. Dafür ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht. Ohne AVV ist die Datenweitergabe rechtswidrig.

Recherche-Stand: verifiziert am 2026-06-06 über gesetze-im-internet.de (§ 15 AGG, § 61b ArbGG), dsgvo-gesetz.de (§ 26 BDSG), datenschutz-hamburg.de (HmbBfDI-Information Bewerberdatenschutz und Recruiting, Juni 2024) sowie Aufsichtsbehörden-FAQ (LfD Niedersachsen).

Auch interessant
Datenschutz-Audit

Datenschutz-Audit: Checkliste & Ablauf für KMU (Selbstcheck)

Datenschutz-Audit Checkliste für KMU: alle Prüfbereiche von VVT über TOMs bis Datenpanne, der Ablauf eines Audits und eine Ampel-Bewertung zur Standortbestimmung in Hamburg.
Cookie-Banner

Cookie-Banner rechtssicher gestalten 2026 (§ 25 TDDDG)

Cookie-Banner rechtssicher nach § 25 TDDDG: Wann Consent Pflicht ist, warum der Ablehnen-Button gleichwertig sein muss und welche Fehler abgemahnt werden.
Anrufen Angebot