up
Themen:
Information Security
Cybersecurity
Data Privacy
Compliance
Business Processes
News & Trends

Bewerbungen per E-Mail? Warum das zur DSGVO-Falle wird – und wie du es besser machst

Wenn ein Bewerber die Löschung seiner Daten fordert, wird aus einer simplen Anfrage schnell ein Compliance-Albtraum – besonders bei E-Mail-Bewerbungen. Wir zeigen, warum strukturierte HR-Prozesse nicht nur rechtlich sicherer, sondern auch effizienter sind.
Data Privacy
Letzte Aktualisierung:
3.12.2025
8.12.2025

Ein ganz normaler Dienstag – bis zur Löschanfrage

Stell dir vor: Es ist Dienstagvormittag, du öffnest dein Postfach und findest diese E-Mail:

„Sehr geehrte Damen und Herren, ich habe mich im März bei Ihnen beworben und bitte hiermit um Löschung aller meiner personenbezogenen Daten gemäß Art. 17 DSGVO. Mit freundlichen Grüßen, Max Mustermann”

Klingt nach einer simplen Anfrage, oder? Du denkst dir: „Kein Problem, lösche ich eben die E-Mail und gut ist.”

Doch dann fällt dir auf: Die Bewerbung liegt nicht nur in deinem Postfach. Sie wurde an drei Kollegen weitergeleitet. Der Lebenslauf ist auf dem Fileserver gespeichert. Und – jetzt wird es kompliziert – die ursprüngliche E-Mail steckt in eurem GoBD-konformen E-Mail-Archiv, das aus gutem Grund unveränderbar ist.

Plötzlich ist aus einer vermeintlich simplen Löschanfrage ein mehrstündiger Recherche-Marathon geworden. Und die Frist läuft: Du hast einen Monat Zeit, der Anfrage nachzukommen.

Willkommen in der Realität vieler KMU, die Bewerbungen per E-Mail annehmen.

Warum E-Mail-Bewerbungen zum Datenschutz-Problem werden

E-Mail ist praktisch. Bewerber können mit zwei Klicks ihre Unterlagen verschicken, du erhältst alles direkt ins Postfach. Kein Formular ausfüllen, keine zusätzlichen Tools – einfach und unkompliziert.

Das Problem: Diese Einfachheit rächt sich spätestens dann, wenn ein Bewerber sein Recht auf Löschung geltend macht.

Das Chaos beginnt mit der Verteilung

Bewerbungen per E-Mail folgen selten einem strukturierten Prozess. Was tatsächlich passiert:

Die HR-Verantwortliche leitet die Bewerbung an die Fachabteilung weiter. Der Abteilungsleiter schickt sie an zwei Kollegen zur Einschätzung. Einer der Kollegen speichert den Lebenslauf lokal ab, um ihn später nochmal zu lesen. Ein anderer druckt die Bewerbung aus für das Auswahlgespräch.

Das Ergebnis: Die Daten liegen verstreut über mindestens fünf Postfächer, zwei lokale Festplatten und vielleicht noch als Papierausdruck in einer Schublade. Von einer zentralen, strukturierten Ablage keine Spur.

Das E-Mail-Archiv: Dein Freund und Feind zugleich

Viele Unternehmen nutzen E-Mail-Archivierungssysteme wie Hornet, Mailstore oder Veeam Backup for Microsoft 365. Diese Systeme archivieren E-Mails revisionssicher und unveränderbar – aus gutem Grund: Die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form (GoBD) verlangen bei geschäftsrelevanten E-Mails die Unveränderbarkeit.

Doch hier kommt die Krux: Bewerbungs-E-Mails sind keine geschäftsrelevanten Unterlagen im Sinne der GoBD. Sie sind keine Rechnungen, keine Verträge, keine Lieferscheine. Du bist also nicht verpflichtet, sie unveränderbar zu archivieren.

Trotzdem landen sie in vielen Unternehmen automatisch im E-Mail-Archiv – und lassen sich von dort aus technischen Gründen oft nicht mehr löschen. Das führt zu einem Dilemma: Die DSGVO fordert Löschung, das Archiv-System lässt es nicht zu.

Der manuelle Lösch-Marathon

Selbst wenn dein E-Mail-Archiv eine Löschfunktion hat, bleibt der Aufwand immens. Du musst:

Alle Postfächer durchsuchen, in denen die Bewerbung gelandet sein könnte. Weitergeleitete E-Mails identifizieren und löschen. Lokale Speicherorte ausfindig machen – wer hat den Lebenslauf wo gespeichert? Das E-Mail-Archiv durchforsten und die ursprüngliche E-Mail sowie alle Kopien entfernen.

Für eine einzige Löschanfrage können schnell zwei bis drei Stunden Arbeit anfallen. Bei mehreren Anfragen im Jahr wird das zur ernsthaften Belastung.

Vergleich: E-Mail-Bewerbungen vs. strukturierter HR-Prozess mit Vor- und Nachteilen
E-Mail-Bewerbungen vs. strukturierter HR-Prozess: Von Datenchaos zu rechtssicherer Effizienz in 5 Schritten.

Was sagt das Gesetz? Aufbewahrungsfristen für Bewerbungen

Bevor wir über Lösungen sprechen, lass uns kurz klären, wie lange du Bewerbungen überhaupt aufbewahren darfst – und musst.

Deutschland: Die berühmten sechs Monate

Die oft zitierte „6-Monats-Frist” ist keine gesetzliche Aufbewahrungspflicht. Es gibt nämlich keine Pflicht, Bewerbungen überhaupt aufzubewahren. Die sechs Monate sind vielmehr eine zulässige Höchstfrist, die sich aus den Klagefristen nach dem Allgemeinen Gleichbehandlungsgesetz und dem Arbeitsgerichtsgesetz ableitet.

Konkret bedeutet das: Ein abgelehnter Bewerber hat zwei Monate Zeit, um Ansprüche wegen Diskriminierung geltend zu machen. Danach bleiben ihm weitere drei Monate, um Klage einzureichen. Addiere noch einen Monat Puffer dazu, und du landest bei sechs Monaten.

Wichtig: Du kannst Bewerbungsunterlagen auch früher löschen, wenn der Bewerber nach Ablauf der Zwei-Monats-Frist ausdrücklich um Löschung bittet und keine AGG-Ansprüche geltend gemacht hat.

Österreich und Schweiz: Andere Länder, andere Fristen

In Österreich gilt eine Frist von sieben Monaten nach Bewerbungseingang, abgeleitet aus dem Gleichbehandlungsgesetz. Die Schweiz ist mit drei bis vier Monaten nach dem definitiven Entscheid etwas großzügiger.

Falls du grenzüberschreitend tätig bist oder Bewerber aus der gesamten DACH-Region hast, solltest du die jeweiligen Fristen im Blick behalten.

GoBD und E-Mail-Archive: Ein Missverständnis mit Folgen

Lass uns ein weit verbreitetes Missverständnis ausräumen: Bewerbungs-E-Mails müssen nicht nach GoBD archiviert werden.

Die GoBD-Archivierungspflicht betrifft geschäftsrelevante, steuerrelevante Unterlagen wie Rechnungen, Verträge oder Lieferscheine. Bewerbungen gehören nicht dazu. Sie sind weder buchführungspflichtig noch steuerrelevant.

Das bedeutet: Wenn dein E-Mail-Archiv Bewerbungen enthält, kannst – und solltest – du diese nach Ablauf der Aufbewahrungsfrist löschen. Falls dein Archiv-System keine selektive Löschung erlaubt, ist das ein Problem des Systems, nicht der DSGVO.

Praxis-Tipp: Bewerbungs-Postfächer separat behandeln

Eine pragmatische Lösung: Richte ein dediziertes Postfach für Bewerbungen ein – zum Beispiel jobs@deinefirma.de. Dieses Postfach schließt du gezielt von der GoBD-Archivierung aus. So landen Bewerbungen gar nicht erst im unveränderlichen Archiv.

Noch besser: Nimm Bewerbungen gar nicht mehr per E-Mail an. Wie das geht, schauen wir uns jetzt an.

Die Lösung: Strukturierte HR-Prozesse statt E-Mail-Chaos

Es gibt zwei Wege, das E-Mail-Problem zu lösen. Welcher für dich passt, hängt davon ab, wie viele Bewerbungen du erhältst und welches Budget dir zur Verfügung steht.

Option A: Bewerbungsformular plus strukturierte Ablage

Die einfachste Lösung für Unternehmen mit gelegentlichen Bewerbungen: ein Online-Formular auf deiner Website.

Schritt 1: Formular einrichten

Erstelle ein einfaches Bewerbungsformular mit Tools wie Microsoft Forms, Google Forms, Tally oder Typeform. Das Formular sollte die wichtigsten Informationen abfragen: Name, E-Mail-Adresse, Telefonnummer, Lebenslauf und Anschreiben als Upload.

Der Vorteil: Die Daten landen strukturiert an einem zentralen Ort – zum Beispiel in SharePoint, Google Drive oder OneDrive. Du legst für jede Bewerbung einen Ordner mit klarem Namensschema an, etwa: 2025-12-08_Mustermann_Max_Softwareentwickler.

Schritt 2: Klare Kommunikation

Informiere Bewerber auf deiner Website, dass du keine E-Mail-Bewerbungen akzeptierst. Ein kurzer Hinweis reicht:

„Bitte nutze unser Bewerbungsformular. E-Mail-Bewerbungen können wir aus organisatorischen Gründen leider nicht berücksichtigen.”

Falls du nicht komplett auf E-Mails verzichten willst, biete eine dedizierte Adresse wie jobs@deinefirma.de an – aber nur, wenn diese E-Mail-Adresse direkt in ein HR-System eingebunden ist.

Schritt 3: Fristen automatisieren

Richte Erinnerungen ein, um Bewerbungen nach Ablauf der Aufbewahrungsfrist zu löschen. Das kannst du mit einfachen Tools wie Outlook-Kalendern, Google Calendar oder Projektmanagement-Software machen. Nach sechs Monaten prüfst du die Ordner und löschst abgelehnte Bewerbungen.

Dokumentiere die Löschung in einer Tabelle: „Bewerbung Max Mustermann, eingegangen am 08.03.2025, gelöscht am 08.09.2025”. So hast du im Zweifelsfall einen Nachweis.

Option B: HR-Tool nutzen – auch für kleine Unternehmen sinnvoll

Wenn du regelmäßig Bewerbungen erhältst – oder einfach nicht mit manuellen Prozessen jonglieren willst – lohnt sich ein dediziertes HR-Tool.

Die Vorteile:

Ein HR-Tool automatisiert nicht nur die Fristenüberwachung, sondern bietet dir auch einen Audit-Trail: Wer hat wann auf welche Bewerbung zugegriffen? Wann wurde sie gelöscht? Das gibt dir Rechtssicherheit.

Außerdem wirkt ein strukturiertes Bewerbermanagement professioneller. Bewerber erhalten automatisierte Eingangsbestätigungen und Statusupdates. Das verbessert die Candidate Experience erheblich.

Empfohlene Tools für KMU:

Es gibt mittlerweile viele bezahlbare HR-Tools, die speziell für kleine und mittelständische Unternehmen entwickelt wurden. Hier einige Beispiele:

  • Personio (Essential) bietet umfassendes Bewerbermanagement mit automatisierten Erinnerungen und DSGVO-konformen Löschfristen. Es eignet sich für Unternehmen ab zehn Mitarbeitenden.
  • Onlyfy One (ehemals Xing E-Recruiting) ist speziell auf den DACH-Markt zugeschnitten und bietet einfache Bedienung mit automatischen Fristen.
  • Join.com hat eine kostenlose Basis-Version und eignet sich besonders für Start-ups und kleine Unternehmen, die erst einmal reinschnuppern wollen.
  • Softgarden ist DSGVO-konform und spezialisiert auf KMU, mit automatisierten Löschfristen und klaren Workflows.
  • Zoho Recruit bietet sogar eine kostenlose Version für einen Nutzer – ideal, wenn du nur wenige Bewerbungen pro Jahr hast.

Lohnt sich das auch bei wenigen Bewerbungen?

Ja. Selbst wenn du nur fünf bis zehn Bewerbungen pro Jahr erhältst, rechnet sich ein HR-Tool schnell. Die Zeit, die du bei einer einzigen Löschanfrage sparst, amortisiert oft schon die jährlichen Kosten.

Hinzu kommt: Mit einem System bist du für Wachstum gerüstet. Wenn dein Unternehmen wächst und plötzlich mehr Bewerbungen eingehen, läuft der Prozess bereits reibungslos. Du musst nicht nachträglich ein Chaos aufräumen.

Warum „Weitermachen wie bisher” keine Option ist

Ich höre oft: „Wir haben das immer so gemacht, und es hat doch funktioniert.”

Hat es das? Oder hattest du bisher einfach Glück, dass noch niemand eine Löschanfrage gestellt hat?

Die DSGVO ist seit 2018 in Kraft. Die Sensibilität für Datenschutz wächst – bei Bewerbern ebenso wie bei Datenschutzbehörden. Immer mehr Menschen kennen ihre Rechte und machen sie auch geltend.

Ein unstrukturierter Bewerbungsprozess per E-Mail ist nicht nur aufwendig und fehleranfällig – er ist auch ein rechtliches Risiko. Bei Verstößen gegen die Löschpflicht drohen Bußgelder. Und selbst wenn es nicht zum Bußgeld kommt: Der Aufwand, eine Löschanfrage zu bearbeiten, frisst Zeit und Nerven.

Fazit: Strukturierte Prozesse schützen dich und deine Bewerber

E-Mail-Bewerbungen sind für Bewerber bequem – für dich als Unternehmen aber ein Datenschutz-Albtraum. Verstreute Daten, manuelle Löschprozesse und rechtliche Unsicherheit machen aus einer simplen Anfrage schnell einen mehrstündigen Aufwand.

Die Lösung ist nicht kompliziert: Bewerbungen strukturiert erfassen, zentral ablegen und Fristen automatisieren. Ob du dafür ein einfaches Formular mit Cloud-Ablage nutzt oder ein dediziertes HR-Tool einsetzt, hängt von deinen Ressourcen ab. Aber eins ist sicher: Den Status quo beizubehalten, ist keine Option.

Du investierst nicht nur in Rechtssicherheit, sondern auch in Effizienz. Und nebenbei hinterlässt du bei Bewerbern einen professionelleren Eindruck.

Du brauchst Unterstützung?

Falls du dir nicht sicher bist, wie du deine Bewerbungsprozesse DSGVO-konform gestaltest oder welche Lösung für dein Unternehmen passt, lass uns sprechen.

Hier kannst du einen Termin für ein Strategiegespräch anfragen

In dreißig Minuten schauen wir uns deine Situation an und finden die passende Lösung – pragmatisch und ohne unnötigen Overhead.

Veröffentlicht am: 
3.12.2025
  |  
Letzte Aktualisierung: 
3.12.2025
Weiterlesen:
Navigieren durch das neue Trans-Atlantic-Data-Privacy-Framework: ein umfassender Leitfaden für Unternehmen
Das deutsche Hinweisgeber-Schutzgesetz: Was du als Unternehmer wissen musst
Effiziente Prozesse – mehr Profit

Digital Shortcuts abonnieren

Wir helfen Teams, effizienter, mit weniger Chaos und organisierter zusammenzuarbeiten. Damit erhöhst du den Profit deines Unternehmens und hast glasklare Prozesse. Willst du mehr erfahren? Dann trag' dich hier ein:

Vielen Dank! Wir haben deine Anmeldung erhalten.
Oh, leider ist etwas schiefgelaufen. Bitte versuche es noch einmal.
Trag’ dich ein und verpasse keine Tipps und Insights. Du kannst die E-Mails jederzeit wieder abbestellen.
Wir versenden kein Spam und geben deine Daten nie weiter. Datenschutzhinweise
Digimojo // Digitale Geschäftsprozesse
write an email
hallo@digimojo.de
telephone number
+49 711 92539966
#gernperdu
Ressourcen
BlogDigital ShortcutsWebsite DSGVO-Check gratisKnowledge-Base UnternehmenKontakt
© Digimojo
ImpressumDatenschutz