Die Recherche von Bewerbern im Internet (sog. Background Checks) ist in vielen Unternehmen gelebte Praxis. Oft werden dabei frei verfügbare Informationen herangezogen, um die Eignung eines Kandidaten besser einschätzen zu können. Doch aktuelle Entscheidungen zeigen deutlich: Eine solche Recherche birgt erhebliche rechtliche Risiken, insbesondere, wenn sie ohne transparente Information gegenüber dem Bewerber erfolgt. Wer als Arbeitgeber versäumt, die Informationspflichten der DSGVO zu beachten, sieht sich schnell immateriellen Schadensersatzforderungen ausgesetzt.
Einleitung
Bewerbungsverfahren sind nicht nur durch arbeitsrechtliche, sondern zunehmend auch durch datenschutzrechtliche Vorgaben geprägt. Art. 14 DSGVO verpflichtet Unternehmen dazu, Personen zu informieren, wenn sie deren Daten aus anderen Quellen als direkt bei der betroffenen Person erheben. Das bedeutet: Sobald ein Arbeitgeber einen Bewerber googelt oder Informationen aus öffentlich zugänglichen Quellen wie Presseberichten, Social Media oder beruflichen Netzwerken verarbeitet, muss der Bewerber darüber informiert werden, und zwar zeitnah und vollständig. Diese Transparenzpflicht soll sicherstellen, dass die betroffene Person weiß, welche Daten über sie gesammelt wurden, zu welchem Zweck dies geschieht und wie sie ihre Rechte wahrnehmen kann.
Wird diese Information unterlassen, liegt ein Verstoß gegen die DSGVO vor. Art. 82 DSGVO regelt, dass jede Person Anspruch auf Schadensersatz hat, wenn sie durch einen Datenschutzverstoß einen Schaden erleidet. Dieser Schaden muss nicht finanzieller Art sein. Die Rechtsprechung hat mehrfach betont, dass bereits der Verlust der Kontrolle über die eigenen Daten, also das Wissen, dass jemand Informationen gesammelt hat, ohne dass man davon wusste, einen sogenannten immateriellen Schaden darstellen kann. Art. 82 DSGVO soll damit gewährleisten, dass der Verstoß gegen die Informationspflicht nicht folgenlos bleibt.
Der heutige Newsletter beschäftigt sich mit einer Entscheidung des Bundesarbeitsgerichts vom 5. Juni 2025 (BAG, Urt. v. 05.06.2025 – 8 AZR 117/24). Das Gericht hatte darüber zu befinden, unter welchen Voraussetzungen ein Bewerber einen immateriellen Schadensersatz nach Art. 82 DSGVO im Bewerbungsverfahren verlangen kann und ob mehrere Datenschutzverstöße im selben Auswahlvorgang automatisch zu einer höheren Entschädigung führen.
Sachverhalt
Der Kläger ist Volljurist, als Fachanwalt für Arbeitsrecht zugelassen und ist mit einem Grad von 50 als schwerbehinderter Mensch anerkannt. Er bewarb sich bei einer Universität auf eine befristete Juristenstelle im Justitiariat. Im Rahmen des Auswahlverfahrens führte die Universität eine Internetrecherche über den Kläger durch. Dabei stieß sie auf Presseberichte und Wikipedia-Einträge über eine strafrechtliche Verurteilung des Klägers wegen Betrug und versuchten Betruges, gegen die der Kläger Revision beim BGH eingelegt hatte und über die zum Zeitpunkt des Bewerbungsverfahrens noch nicht entschieden war. Der Vorwurf lautete, der Kläger habe vielfach fingierte Bewerbungen eingereicht, um potenzielle Arbeitgeber anschließend wegen angeblicher Diskriminierung zur Zahlung von Entschädigungen nach AGG zu veranlassen. Diese eigenständig in Erfahrung gebrachten Informationen dokumentierte die Universität in einem Auswahlvermerk über den Bewerber. Eine Information nach Art. 14 DSGVO über diese Recherche erhielt der Kläger nicht.
Im Ergebnis wurde der Kläger nicht eingestellt. Nachdem der Kläger einen Auskunftsanspruch nach Art. 15 DSGVO geltend gemacht hatte, übersandte die Universität ihm eine Kopie des Auswahlvermerks. Der Kläger begehrte im Anschluss insbesondere eine immaterielle Entschädigung nach Art. 82 DSGVO. Das Arbeitsgericht Düsseldorf wies die Klage ab. Das LAG Düsseldorf sprach ihm EUR 1.000 zu. Gegen diese Höhe wandte der Kläger sich in der Revision und machte geltend, die Vielzahl der Datenschutzverstöße müsse zu einer deutlich höheren Entschädigung führen.
Entscheidung
Das BAG wies die Revision zurück. Es bestätigte die Entscheidung des LAG Düsseldorf und erklärte, dass Datenschutzverstöße im Bewerbungsverfahren grundsätzlich einen immateriellen Schaden auslösen können. Entscheidend sei dabei die Intensität der Beeinträchtigung des Betroffenen. Der Kläger argumentierte, die Beklagte habe mehrere Verstöße im Zusammenhang mit derselben Datenverarbeitung begangen (u. a. rechtswidrige Recherche und fehlende Information). Diese Vielzahl müsse zu einer höheren Entschädigung führen. Das BAG erteilte diesem Ansatz eine klare Absage:
Mehrere Verstöße innerhalb derselben Verarbeitungshandlung gegenüber derselben Person stellen kein eigenständiges Erhöhungsmerkmal dar. Die DSGVO sehe keinen strafenden oder abschreckenden „Multiplikationseffekt“ vor.
Die vom LAG Düsseldorf zugesprochenen EUR 1.000 lagen nach Auffassung des BAG im tatrichterlichen Ermessen und trugen der konkreten Verletzungssituation ausreichend Rechnung. Eine Erhöhung war nicht erforderlich.
Fazit und Praxishinweis
Background-Checks gehören inzwischen nicht selten zum Bewerbungsalltag. Arbeitgeber können diese auch weiterhin durchführen, sie müssen aber insbesondere die datenschutzrechtlichen Regelungen einhalten. Beim Background-Check dürfen Arbeitgeber nur solche Informationen erheben, für die sie ein berechtigtes Interesse haben. D.h. es dürfen nur solche Daten verarbeitet werden, die für die Entscheidung über die Eignung des Bewerbers unmittelbar relevant sind. Der Arbeitgeber muss den Bewerber ferner unverzüglich über die durchgeführte Recherche und die Kategorien der verarbeiteten Daten informieren. Die Höhe des Schadensersatzes wegen Nichtinformation kann im Einzelfall zwar moderat sein kann, sich aber bei systematischen Verstößen schnell summieren. Hinzu kommt: Nach § 44 BDSG kann die betroffene Person am eigenen Wohnsitz klagen, was „DSGVO-Hopping“, also das gezielte Aufspüren von Datenschutzfehlern, erleichtert.
Empfehlenswert ist für Arbeitgeber eine interne Verfahrensanweisung, die definiert, wer recherchieren darf, zu welchem Zweck und an welchem Punkt des Verfahrens der Bewerber informiert wird.
