BAG-Urteil: Hintergrundchecks nur mit Transparenz

Wer Bewerber online prüft, muss sie darüber informieren – sonst wird es teuer. Das hat das Bundesarbeitsgericht (BAG) in einem Grundsatzurteil klargestellt. Während die Finanzbranche automatisierte Compliance-Prüfungen vorantreibt, bleibt die Transparenzpflicht für alle Arbeitgeber entscheidend.

Die Rechtslage für die Online-Recherche von Bewerbern – oft „Google-Check“ genannt – hat das Bundesarbeitsgericht (BAG) am 5. Juni 2025 scharf definiert (Az. 8 AZR 117/24). Das Urteil bleibt der zentrale Compliance-Maßstab für Personalabteilungen.

Das Gericht bestätigte: Arbeitgeber dürfen Bewerber online prüfen, wenn dies für die Stelle erforderlich ist. Sie machen sich jedoch sofort haftbar, wenn sie den Bewerber nicht über diese Datenerhebung informieren. Im konkreten Fall hatte eine Universität einen Kandidaten für eine Juristenstelle gegoogelt, einen Wikipedia-Eintrag über eine Vorstrafe gefunden und ihn abgelehnt.

Passend zum Thema DSGVO-Compliance: Automatisierte Bewerber-Screenings können schnell zu einer risikoreichen Verarbeitung werden – und damit die Pflicht zur Datenschutz-Folgenabschätzung (DSFA) auslösen. Unser kostenloses E-Book erklärt praxisnah, wann eine DSFA erforderlich ist, welche Risiken besonders zu beachten sind und liefert editierbare Vorlagen sowie Checklisten, mit denen HR-Abteilungen automatisierte Prüfprozesse rechtssicher dokumentieren. Kostenlose DSFA-Vorlage herunterladen

Der Arbeitgeber wurde nicht für die Recherche selbst belangt, sondern für das Unterlassen der Benachrichtigung. Nach Artikel 14 der DSGVO muss der Verantwortliche die betroffene Person informieren, wenn personenbezogene Daten aus einer anderen Quelle als von ihr selbst stammen. Das BAG sprach dem Kläger 1.000 Euro Schadensersatz zu – allein wegen dieser fehlenden Transparenz.

„Das BAG hat klargestellt: Der ‚Google-Check‘ ist nicht verboten, aber ihn hinter dem Rücken des Bewerbers durchzuführen, verstößt direkt gegen die DSGVO“, erklärt Dr. Lena Weber, eine Berliner Arbeitsrechtsexpertin. „Viele Unternehmen glauben fälschlicherweise, öffentlich zugängliche Daten seien ‚freie Beute‘. Das sind sie nicht.“

Neue Dynamik: Automatisierte Compliance-Prüfungen im Aufwind

Die Aktualität dieser Transparenzpflicht unterstreichen neue Branchendaten. Am 23. Dezember kündigte die Schweizer Compliance-Firma Validato AG an, dass Banken und Versicherungen zunehmend Geldwäscheprüfungen (AML) und Sanktionslisten-Abgleiche direkt in ihre Einstellungsprozesse integrieren.

Finanzinstitute stehen demnach unter wachsendem Druck von Aufsichtsbehörden wie der FINMA und der EBA, die Integrität von Schlüsselpersonal vor der Einstellung zu prüfen. Dies führt zu einem Boom automatisierter Screening-Verfahren, die Bewerberdaten mit globalen Sanktionslisten und PEP-Datenbanken („Politisch exponierte Personen“) abgleichen.

Doch dieser Automatisierungstrend verstärkt die vom BAG identifizierten Haftungsrisiken. Wenn ein automatisiertes System Daten aus externen Quellen bezieht, ohne den Bewerber vorher zu informieren, begeht der Arbeitgeber genau den Artikel-14-Verstoß, den das Gericht ahndet.

Praktische Compliance: So minimieren Sie das Risiko 2026

Da das Beschäftigtendatenschutzgesetz Ende 2025 noch im Entwurf steht, müssen sich Arbeitgeber im aktuellen DSGVO-Rahmen präzise bewegen. Um Haftungsansprüche zu vermeiden, sollten Personalabteilungen sofort handeln:

1. Proaktive Information: Der sicherste Weg ist, Bewerber vorab (z.B. in der mit der Stellenausschreibung verlinkten Datenschutzerklärung) zu informieren, dass öffentliche Quellen oder Background-Check-Dienste genutzt werden können.
2. Der „Artikel-14-Brief“: Wird eine spezifische Recherche ohne Vorankündigung durchgeführt, muss der Bewerber „innerhalb angemessener Frist“ – in der Regel bei der Entscheidungsfindung – über diese Datenerhebung informiert werden.
3. Dokumentation der „Erforderlichkeit“: Arbeitgeber sollten dokumentieren, warum eine Online-Recherche für die konkrete Rolle notwendig war. Ein umfassender Check mag für eine hochsensible Position in der Finanzbranche gerechtfertigt sein, für eine einfache Verwaltungsstelle jedoch übertrieben.
4. Strikte Datentrennung: Informationen aus dem Privatleben (Familienstand, Hobbys) bleiben für Einstellungsentscheidungen tabu – auch wenn sie öffentlich einsehbar sind.

Ausblick: Spannung zwischen Sicherheit und Privatsphäre

Der Konflikt zwischen dem Sicherheitsbedürfnis regulierter Branchen und den strengen Datenschutzrechten der Bewerber wird den Recruiting-Markt 2026 prägen.

Die von Validato beschriebenen Automatisierungstools bieten Effizienz. Sie müssen jedoch mit robusten Compliance-Prozessen einhergehen. Ein automatisierter Check, der einen Kandidaten markiert, ist wertvoll. Ein automatisierter Check, der eine DSGVO-Klage auslöst, weil der Kandidat nie informiert wurde, ist ein Haftungsrisiko.

Die Botschaft von Gerichten und Markt ist eindeutig: Im digitalen Zeitalter ist Information Macht, doch Transparenz ist der Preis für ihre Nutzung.

PS: Sie setzen automatisierte Screening-Tools ein oder planen deren Einführung? Sichern Sie sich den kostenlosen DSFA-Leitfaden mit konkreten Vorlagen, Schritt-für-Schritt-Checklisten und Formulierungen speziell für HR- und Compliance-Teams in Finanzinstituten – so dokumentieren Sie Erforderlichkeit und vermeiden teure DSGVO-Fehler. Gratis DSFA-Leitfaden jetzt herunterladen