Entscheidungen zum Datenschutzrecht  ·  23. November 2025

DSB: Unvollständige Löschung von Bewerbungsunterlagen – strafrechtliche Daten dürfen intern verarbeitet werden

Behörde: Österreichische Datenschutzbehörde
Datum: 11. November 2025 (nicht rechtskräftig)
GZ: 2025-0.758.101


Rechtssatz: Eine verspätete oder unvollständige Löschung von Bewerbungsdaten verletzt Art. 17 DSGVO; die interne Weitergabe eines Strafregistereintrags kann im Bewerbungsverfahren auf Basis berechtigter Interessen zulässig sein.

 

Sachverhalt

Eine Bewerberin übermittelte im Rahmen ihres Bewerbungsprozesses bei einem Unternehmen freiwillig einen Strafregisterauszug und ein ergänzendes Schreiben des BMJ. Daraus ergab sich eine bedingt nachgesehene Verurteilung wegen schweren Betrugs.

 

Die HR-Abteilung leitete diese Information intern an jene Manager weiter, die über eine mögliche Einstellung entscheiden sollten. Kurz darauf erhielt die Bewerberin eine Absage.

 

Am 5. August 2024 beantragte sie die Löschung sämtlicher personenbezogener Daten. Das Unternehmen reagierte jedoch erst ein Jahr später (August 2025) und bestätigte die Löschung – allerdings nicht vollständig, denn eine interne E-Mail vom 1. August 2024 blieb gespeichert.

 

Die Bewerberin erhob Datenschutzbeschwerde wegen

  • Verletzung des Rechts auf Löschung und

  • Verletzung des Rechts auf Geheimhaltung.

Die DSB musste nun klären:

  • Hätte das Unternehmen alle Daten löschen müssen?
  • War die interne Weitergabe der strafrechtlichen Information zulässig?

 

Rechtliche Begründung

 

1. Recht auf Löschung – Art. 17 DSGVO

Link: https://www.dataprotect.at/dsgvo/art-17/

 

Die DSB stellte klar:

  • Daten aus dem Bewerbungsprozess waren überwiegend gelöscht, jedoch blieb die interne HR-Mail mit dem Strafregistereintrag bestehen.

  • Eine Speicherung solcher Daten ist nur zulässig, wenn ein Ausnahmetatbestand nach Art. 17 Abs. 3 DSGVO greift.

Das Unternehmen argumentierte mit der Ausnahme nach
Art. 17 Abs. 3 lit. e DSGVO – Speicherung zur Geltendmachung/Verteidigung von Rechtsansprüchen.

 

Die DSB stellte jedoch klar:

Die bloße abstrakte Möglichkeit eines künftigen Rechtsstreits reicht nicht aus.

Es hätte konkrete, sicher bevorstehende Verfahren geben müssen. Diese lagen aber nicht vor.

 

Ergebnis:


Verletzung des Rechts auf Löschung, Unternehmen muss die E-Mail löschen.

Rechtsgrundlagen:

 

2. Recht auf Geheimhaltung – § 1 DSG

Link: https://www.dataprotect.at/dsg/1-dsg/

 

Die Bewerberin rügte, dass vier Personen im Unternehmen Details ihrer strafrechtlichen Verurteilung erhielten.

 

Hier prüfte die DSB:

a) Verarbeitung strafrechtlicher Daten – Art. 10 DSGVO & § 4 Abs. 3 DSG

Links:

Da Österreich die Öffnungsklausel verwendet, ist auch die Verarbeitung strafrechtlicher Daten durch Private zulässig, wenn

  • ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) vorliegt und

  • die Verarbeitung erforderlich ist.

b) Berechtigtes Interesse

Das Unternehmen wollte prüfen, ob die Verurteilung ein Einstellungshindernis darstellt → legitimes Interesse.

c) Erforderlichkeit

Die Weitergabe an die unmittelbar entscheidenden Manager war notwendig, um eine fundierte Personalentscheidung zu treffen.

d) Interessenabwägung

Wichtig:
Die Bewerberin hatte den Eintrag selbst offen gelegt.
Damit konnte sie vernünftigerweise vorhersehen, dass diese Information intern geprüft und mit relevanten Personen besprochen wird.

Ergebnis:
Keine Verletzung des Rechts auf Geheimhaltung, interne Weitergabe war zulässig.

 

Fazit

Die Entscheidung bestätigt zwei wesentliche Grundsätze:

 

1. Löschanträge müssen vollständig und zeitnah umgesetzt werden.

Ein Jahr zu warten – und dann noch nicht alles zu löschen – ist klar unzulässig.
Unternehmen müssen Prozesse haben, um Bewerberdaten systematisch und lückenlos zu löschen.

 

2. Strafrechtliche Daten dürfen im Bewerbungsverfahren verarbeitet werden – aber nur intern und zweckgebunden.

Die Weitergabe an jene Personen, die tatsächlich an der Einstellung beteiligt sind, ist zulässig, wenn

  • ein berechtigtes Interesse besteht,

  • die Verarbeitung erforderlich ist, und

  • keine überwiegenden Interessen der Bewerberin entgegenstehen.

 

Schlussfolgerung für Verantwortliche

Unternehmen sollten folgende Maßnahmen setzen:

🔹 Löschprozesse verbessern

  • Fristen definieren

  • automatisierte Reminder

  • technische Sicherstellung, dass wirklich alle Daten gelöscht werden

  • Dokumentation des Löschvorgangs

🔹 Umgang mit Strafregisterdaten klar regeln

  • nur an Personen mit Entscheidungskompetenz weitergeben

  • keine darüber hinausgehende Verteilung

  • Löschung unmittelbar nach Abschluss des Prozesses

  • Information der Bewerber*innen über Zweck und Notwendigkeit

🔹 Transparenz herstellen

 

  • Bewerber*innen sollten klar wissen, dass strafrechtliche Daten intern geprüft werden.

Tags: Löschung; Bewerbungsdaten; Strafregister; interne Weitergabe; berechtigtes Interesse; Art. 17 DSGVO; Art. 10 DSGVO; Art. 6 Abs. 1 lit. f DSGVO; DSG § 4 Abs. 3;

Kommentar schreiben

Kommentare: 0
1 Gilt für Lieferungen in folgendes Land: Österreich. Lieferzeiten für andere Länder und Informationen zur Berechnung des Liefertermins siehe hier: Liefer- und Zahlungsbedingungen
2 inkl. MwSt.
Impressum | AGB | Widerrufsbelehrung und -formular | Datenschutz | Cookie-Richtlinie | Sitemap | Vertrag widerrufen
(C) by dataprotect schweiger.legal Rechtsanwälte OG | Dr. Thomas Schweiger, LL.M. (Duke)
Anmelden Abmelden | Bearbeiten