Liebe Leserinnen und Leser,
stellen Sie sich vor: Ein Unternehmen erhält eine Bewerbung. Kein Lebenslauf, keine Zeugnisse – nur ein knappes Anschreiben. Kurz darauf landet eine Absage im E-Mail-Postfach des Bewerbers. Noch am selben Tag reagiert er: Er fordert die sofortige Löschung seiner Daten. Das Unternehmen, bemüht um Datenschutz-Compliance, löscht prompt. Drei Wochen später meldet sich ein Anwalt: Sein Mandant fühle sich diskriminiert, das Unternehmen habe das AGG verletzt – und die Beweise? Wurden „vorbildlich“ gelöscht.
Was ist „AGG-Hopping“?
Das Allgemeine Gleichbehandlungsgesetz (AGG) schützt Bewerberinnen und Bewerber vor Benachteiligungen aus Gründen der ethnischen Herkunft oder rassistischer Zuschreibungen, des Geschlechts, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität. Wer sich diskriminiert fühlt, kann nach § 15 AGG Schadensersatz und/oder eine Entschädigung verlangen. Bei einer Nichteinstellung kann die Entschädigung bis zu drei Monatsgehälter betragen.
Genau hier setzt sogenanntes AGG-Hopping an: Personen bewerben sich – ohne echtes Interesse an der Stelle – gezielt auf Ausschreibungen, die möglicherweise nicht AGG-konform formuliert sind, zum Beispiel wenn pauschal nach einer „Sekretärin“ gesucht wird. Kommt die Absage, werden Entschädigungsansprüche geltend gemacht. Das kennen Sie sicherlich bereits. Neu ist aber jetzt diese Methode:
Löschantrag als zusätzlicher Risikofaktor
Manche Bewerber kombinieren den Löschantrag nach Art. 17 DSGVO gezielt mit einem AGG-Anspruch. Das Vorgehen sieht typischerweise so aus:
- Der Bewerber erhält eine Absage.
- Er verlangt unmittelbar danach die Löschung seiner Bewerberdaten.
- Das Unternehmen löscht die Bewerberdaten, weil es den Datenschutzpflichten nachkommen will.
- Kurz darauf folgt eine anwaltliche Forderung wegen angeblicher Diskriminierung nach dem AGG.
- Das Unternehmen hat nun ein Problem: Die Unterlagen und Auswahlvermerke, die zur Verteidigung wichtig wären, sind nicht mehr vorhanden.
Praxisbeispiel: Löschantrag noch vor der Absage
Besonders heikel sind Fälle, in denen der Löschantrag nicht nach einer Absage eingeht, sondern während das Bewerbungsverfahren noch läuft oder jedenfalls noch keine formale Absage erteilt wurde. In solchen Schreiben heißt es dann zum Beispiel sinngemäß:
„Da ich seit geraumer Zeit keine Rückmeldung von Ihnen erhalten habe und davon auszugehen ist, dass meine Bewerbung im Auswahlverfahren nicht weiter berücksichtigt wird, ist der Zweck der Speicherung entfallen. Hiermit bitte ich Sie unter Berufung auf Art. 17 DSGVO, sämtliche zu meiner Person gespeicherten personenbezogenen Daten unverzüglich zu löschen.“
Das klingt auf den ersten Blick höflich und datenschutzrechtlich sauber. Der entscheidende Punkt ist aber: Die Annahme des Bewerbers ersetzt keine Absage des Unternehmens. Solange das Bewerbungsverfahren noch nicht abgeschlossen ist und die Bewerbung nicht ausdrücklich zurückgenommen wurde, ist der ursprüngliche Zweck der Verarbeitung – die Durchführung des Bewerbungsverfahrens – grundsätzlich noch nicht entfallen.
Unternehmen sollten einen solchen Löschantrag daher nicht vorschnell zum Anlass nehmen, sämtliche Bewerberdaten zu löschen und die Bewerbung damit faktisch aus dem Verfahren zu nehmen. Denn genau daraus kann später ein neues Risiko entstehen: Der Bewerber könnte geltend machen, er sei nicht berücksichtigt worden, obwohl er seine Bewerbung gar nicht ausdrücklich zurückgenommen habe.
Für die Praxis heißt das: Ein solcher Löschantrag sollte zunächst sauber eingeordnet werden. Ist das Bewerbungsverfahren noch offen? Wurde bereits eine Absage erteilt? Oder möchte die Person ihre Bewerbung tatsächlich zurückziehen? Ist Letzteres nicht eindeutig, sollte das Unternehmen dies kurz klären und dokumentieren.
Zum Beispiel:
„Wir haben Ihr Schreiben als Löschantrag nach Art. 17 DSGVO zur Kenntnis genommen. Da das Bewerbungsverfahren noch nicht abgeschlossen ist, benötigen wir Ihre Bewerbungsdaten weiterhin zur Durchführung des Auswahlverfahrens. Bitte teilen Sie uns mit, ob Sie Ihre Bewerbung zurückziehen möchten. In diesem Fall würden wir Ihre Daten nach Maßgabe der datenschutzrechtlichen Vorgaben löschen bzw. nur noch eingeschränkt aufbewahren, soweit dies zur Dokumentation und Rechtsverteidigung erforderlich ist.“
Wichtig: Der Löschantrag darf nicht automatisch als stillschweigende Rücknahme der Bewerbung gedeutet werden. Gleichzeitig muss das Unternehmen nicht ungeprüft löschen, wenn die Daten noch für das laufende Bewerbungsverfahren oder anschließend zur Verteidigung möglicher Rechtsansprüche erforderlich sind.
Das rechtliche Spannungsfeld: DSGVO vs. AGG
Nach einer Absage entfällt zwar der ursprüngliche Verarbeitungszweck. An seine Stelle tritt aber ein neuer, befristeter Zweck: die Verteidigung gegen mögliche AGG-Ansprüche. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; Art. 17 Abs. 3 lit. e DSGVO schließt das Löschrecht für diesen Zeitraum aus.
Als praxisgerechter Richtwert gelten bis zu sechs Monate nach Zugang der Absage (zweimonatige AGG-Geltendmachungsfrist nach § 15 Abs. 4 AGG, zuzüglich Puffer für Klagezustellung und Verfahren). Liegt ein konkreter Rechtsstreit vor, darf länger aufbewahrt werden.
Was bedeutet das für den Umgang mit Löschanträgen?
Erhalten Sie einen Löschantrag während oder kurz nach einem Bewerbungsverfahren, sollten Sie nicht reflexartig löschen. Besser ist ein kurzer Prüfprozess:
- Löschantrag schriftlich bestätigen und intern dokumentieren.
- Prüfen, ob das Bewerbungsverfahren noch läuft, die Bewerbung zurückgenommen wurde oder bereits eine Absage erteilt wurde. Läuft das Verfahren noch, nicht löschen – sondern nachfragen, ob die Bewerbung zurückgezogen werden soll, und die Antwort dokumentieren.
- Bei abgelehnten Bewerbungen innerhalb der AGG-Risikofrist: Daten nicht mehr für Recruiting-Zwecke nutzen, sondern nur noch eingeschränkt zur Rechtsverteidigung speichern.
- 17 Abs. 3 lit. e DSGVO als Ausnahme vom Löschanspruch und Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die befristete Speicherung sauber benennen.
- Konkretes Löschdatum setzen und technisch oder organisatorisch sicherstellen, dass die Daten nach Fristablauf gelöscht werden.
- Keine pauschale Bestätigung „Wir haben alles gelöscht“ versenden, wenn noch einzelne Daten zur Rechtsverteidigung aufbewahrt werden.
Wie erkennen Sie einen potenziellen Risikofall?
Eindeutige Merkmale gibt es nicht. Dennoch gibt es Muster, die in der Kombination aufhorchen lassen:
- Die Bewerbungsunterlagen sind auffällig knapp oder unvollständig.
- Die Person passt offensichtlich nicht zum Anforderungsprofil der ausgeschriebenen Stelle.
- Der Löschantrag folgt unmittelbar auf die Absage – teilweise noch am selben Tag.
- Der Löschantrag geht ein, obwohl noch gar keine Absage erteilt wurde – begründet mit der Annahme, nicht berücksichtigt zu werden.
- Die Bewerbung bezieht sich auf eine Stellenausschreibung, die möglicherweise AGG-rechtlich angreifbar formuliert ist.
Auch dann gilt: Bitte keine vorschnellen Schlussfolgerungen. Entscheidend ist nicht, ob jemand „verdächtig“ wirkt, sondern ob das Unternehmen objektiv, diskriminierungsfrei und gut dokumentiert entschieden hat.
Ihre Checkliste für rechtssichere Bewerbungsverfahren
- Stellenausschreibungen AGG-konform formulieren: geschlechtsneutral, ohne Altersvorgaben und ohne unnötig ausschließende Anforderungen.
- Ablehnungsgründe intern dokumentieren – sachlich, nachvollziehbar und diskriminierungsfrei.
- Eingehende Bewerbungen, Absagen und sonstige Kommunikation im Bewerbungsverfahren nachvollziehbar dokumentieren.
- Löschanträge nicht reflexartig erledigen, sondern nach einem festgelegten Prüfprozess bearbeiten.
- Bewerberdaten nach Absage grundsätzlich nur befristet speichern; als Richtwert: bis zu sechs Monate, sofern kein konkreter Rechtsstreit anhängig ist.
- Bei längerer Speicherung für Talentpools eine separate, freiwillige Einwilligung einholen.
- Datenschutzhinweise für Bewerber: Zwecke, Rechtsgrundlagen, Speicherdauer und Betroffenenrechte transparent darstellen.
- Verzeichnis von Verarbeitungstätigkeiten (VVT) für Bewerberdaten prüfen und Speicherfristen sauber hinterlegen.
Das Thema zeigt einmal mehr: Datenschutz und Arbeitsrecht greifen im Alltag enger ineinander als viele denken. Wer beide Bereiche im Blick behält, ist deutlich besser aufgestellt – bei echten Betroffenenrechten genauso wie bei missbräuchlicher Geltendmachung.
Und schließlich noch ein aktueller Warnhinweis: Spam-Flut + falscher IT-Support über Teams
Derzeit wird ein ernst zu nehmender Social-Engineering-Angriff verstärkt beobachtet: Zunächst wird ein Postfach mit einer massiven Menge an Spam-Mails bombardiert – teilweise so viele, dass der normale E-Mail-Verkehr kaum noch nutzbar ist und wichtige Nachrichten untergehen. Kurz darauf meldet sich ein vermeintlich hilfsbereiter IT-Kollege über Microsoft Teams und bietet Unterstützung bei der Behebung des Problems an.
Was nach schneller Hilfe klingt, ist der eigentliche Angriff: Ziel ist Fernzugriff, Schadsoftware oder das Abgreifen von Zugangsdaten – über einen vertrauten Kanal, unter Zeitdruck. Sensibilisieren Sie Ihre Mitarbeitenden: Ruhe bewahren, nichts anklicken, keine Zugangsdaten oder MFA-Codes weitergeben, keinen Fernzugriff gewähren – ohne vorherige Verifikation über einen separaten Kanal (z. B. Anruf bei der bekannten IT-Nummer). Verdächtige Vorfälle sofort melden.
Faustregel: Echte IT-Hilfe hält einer kurzen Rückfrage stand. Angreifer setzen auf Stress, Tempo und Vertrauen.
Herzlichen Dank fürs Lesen
Ihr Dapro Serv-Team
Klingt kompliziert? Wir unterstützen Sie gerne. Sprechen Sie uns an. Datenschutz kann einfach sein.
Sie haben Anmerkungen zu unseren Newslettern? Wir freuen uns sehr über jedes Feedback.
Bitte beachten Sie, dass dieser Newsletter der Information dient und keine Rechtsberatung darstellt!
