Erstellt am 26. Juli 2019 · Arbeitsleben, Arbeitsrecht, HR · von

Datenlöschung for Dummies: Wie vernichte ich Bewerberdaten richtig?

Lesezeit: 3 Minuten

Muss ich die Druckerfestplatte schreddern lassen, nachdem ich einen Lebenslauf ausgedruckt habe? – Datenvernichtung bei Personalwechsel ist ein empfindliches Thema, ganz gleich, in welcher Branche. Es gilt Fristen einzuhalten, Verordnungen zu beachten und die gesetzlichen Vorgaben auch richtig umzusetzen. Aber was sagt das Gesetz? Wir haben nachgefragt.

Wie vernichtet man Bewerberdaten richtig und wann ist der korrekte Zeitpunkt? Auch wenn sich darum meist die Rechtsabteilung kümmert, sollten Personaler und Bewerber ebenfalls ein wenig darüber Bescheid wissen. Als Nicht-Jurist tut man sich mit den gesetzlichen Vorgaben aber oft schwer. Darum haben wir unseren „Mr. Legal“, karriere.at Jurist Andreas Hamberger, gebeten, uns zu erklären, was bei der Datenlöschung im Personalbereich wichtig ist.

Datenvernichtung bei Jobabsage

Ein Absageschreiben an einen Kandidaten zu schicken ist keine schöne Sache – und spätestens seit Inkrafttreten der DSGVO auch eine sehr heikle. Denn was passiert mit den persönlichen Daten, die der Bewerber mittels Lebenslauf ans Unternehmen geschickt hat? Diese müssen, so viel dürfte bekannt sein, gelöscht werden. In welchem Zeitraum, das ist gesetzlich festgelegt. „Hier kommt das Gleichbehandlungsgesetz ins Spiel“, erklärt Jurist Hamberger.

„Sechs Monate plus eins müssen Bewerberdaten gespeichert werden.“

Jurist Andreas Hamberger

karriere.at Jurist Andreas Hamberger

„Wenn ein Bewerber nachweisen kann, dass er aufgrund einer Ungleichbehandlung, also wegen seines Geschlechts, Alters oder wegen einer Behinderung, den Job nicht bekommen hat, kann er innerhalb von sechs Monaten dagegen klagen. Diese Frist, müssen Unternehmen abwarten, dazu kommt ein Monat, um zu reagieren. Nach sieben Monaten müssen die personenbezogenen Daten dann gelöscht werden.“

Da sich die meisten Recruiter aber die Bewerbungsunterlagen von interessanten Kandidaten für später aufheben, also „in Evidenz halten“, wird in den Absagemails üblicherweise um Zustimmung zur Datenspeicherung gebeten. Erteilt der Kandidat diese Einwilligung, darf das Unternehmen die personenbezogenen Daten aus dem Lebenslauf so lange speichern, bis er seine Zustimmung widerruft.

Daten löschen bei Active Sourcing

Einen Unterschied gibt es, wenn sich jemand nicht selbst beworben hat, sondern vom Recruiter über soziale Netzwerke wie LinkedIn oder Xing direkt kontaktiert wurde. Schickt der Kandidat daraufhin seinen Lebenslauf und wird abgelehnt, müssen trotzdem alle personenbezogenen Daten gelöscht werden (außer der Bewerber erlaubt die Speicherung). Der Link zum jeweiligen Profil darf aber, da er öffentlich zugänglich ist, behalten werden – etwa, um auf einer Blacklist festzuhalten, wer bereits kontaktiert und wem abgesagt wurde. In diesem Link steht jedoch üblicherweise der Name, der auch zu den personenbezogenen Daten gehört …

Kein Schreddern nötig: „Löschen“ heißt nicht löschen

Wie löscht man Daten nun aber richtig? Die gute Nachricht für Unternehmen: Man muss keine Festplatten schreddern, um Bewerberdaten gesetzeskonform zu vernichten. Darum geht es nämlich gar nicht. Denn „löschen“ bedeutet laut Gesetzestext nicht „zerstören“, sondern: „Eine Anonymisierung reicht. Wichtig ist, dass die personenbezogenen Daten danach keiner Person mehr eindeutig zugeordnet und nicht einfach wiederhergestellt werden können“, so Hamberger. Sie einfach in den (digitalen) Papierkorb zu werfen, ist also nicht genug.

In einer Entscheidung der Datenschutzbehörde heißt es dazu: „Da die DSGVO auf Daten ohne Personenbezug keine Anwendung findet, ist die Entfernung des Personenbezugs (also die ‚Anonymisierung‘) grundsätzlich ein mögliches Mittel, um dem Löschungsbegehren zu entsprechen. Dabei gilt jedoch ein strenger Maßstab, wonach sichergestellt sein muss, dass weder der Verantwortliche selbst noch ein Dritter ohne unverhältnismäßigen Aufwand den Personenbezug wiederherstellen kann.“ (Art. 17, DSGVO)

Daten im Online-Account: das Löschungsbegehren

Wie ist das nun aber, wenn ich mich online in einem Talentepool registriert habe, um Jobangebote zu erhalten, und meine Daten gelöscht haben will? „Wenn ich mir einen Online-Account bei einem Unternehmen angelegt habe und will, dass die Daten dort entfernt werden, kann ich ein Löschungsbegehren einbringen. Dem muss innerhalb von einem Monat entsprochen werden“, klärt uns „Mr. Legal“ auf. Bei besonders komplexen Verarbeitungsprozessen hat das Unternehmen drei Monate dafür Zeit. Auch hier gilt wieder: Anonymisieren reicht aus, vollständiges Löschen ist nicht nötig.

Datenvernichtung bei Personalwechsel: wenn Mitarbeiter ausscheiden

Sehr viel schwieriger ist der Sachverhalt beim Thema Kündigung, erzählt Andreas Hamberger, denn bei ausscheidenden Mitarbeitern gibt es unterschiedliche Rechtsgrundlagen und Löschfristen zu beachten. Überraschenderweise müssen die Daten eines Mitarbeiters nach dessen Kündigung aber eher gespeichert als gelöscht werden. Warum das so ist, erklärt der Jurist sehr einleuchtend: „Ein Dienstzeugnis kann ich gemäß § 1163 in Verbindung mit § 1478 des Allgemeinen Bürgerlichen Gesetzbuchs bis 30 Jahre nach dem Ausscheiden vom ehemaligen Arbeitgeber einfordern. Um das zu schreiben, benötigt man eben eine Vielzahl an Informationen. Außerdem müssen gewisse Daten aus steuerrechtlichen Gründen bis zu sieben Jahren aufgehoben werden.“

Bildnachweis: shutterstock/Sundays Photography; karriere.at

Lisa-Marie Linhart

Lisas Liebe gilt dem Wort und der Musik. Bei uns kombiniert sie beides zu wohlklingenden Blogbeiträgen mit dem richtigen Groove für Themen, die das Arbeitsleben leichter und die Karriereplanung einfacher machen.

karriere.at verwendet Cookies, um dein Benutzererlebnis zu verbessern und personalisierte Werbung anbieten zu können. Weitere Informationen und deine Opt-Out Möglichkeit findest du auf unserer Datenschutzseite.