Background Checks, also Hintergrund-Abfragen und Prüfungen zur Identität von Bewerbenden sowie Eigenschaften oder Stationen im Lebenslauf gehören für viele HR-Verantwortliche bereits zum Standard im Recruitingprozess. Andere zögern oder nutzen diese Möglichkeiten nicht. Häufig liegt der Irrtum zugrunde, dass diese Background Checks zu Datenschutzverstößen führen können. Tatsächlich gilt das nur dann, wenn Sie nicht ausreichend informiert sind, was Sie dürfen und was nicht. Gastautor Nabil el Berr zeigt Ihnen Chancen und Risiken anhand von eingängigen Praxisbeispielen.
Ein Schaden ist schnell entstanden
Vor wenigen Monaten sollte ein deutsches Family Office eine Beteiligung an einem geschlossenen Immobilienfonds zeichnen. Der Initiator präsentierte ein imposantes Portfolio, nur die letzten Millionen fehlten. Eine strukturierte Prüfung mit Datenquellen wie Moody’s und LexisNexis brachte binnen Stunden eine andere Geschichte hervor: Die Holding existierte in keinem Handelsregister, hinter dem vermeintlichen Großinvestor stand ein Hauptschulabsolvent ohne nachweisbaren beruflichen Hintergrund. Vermiedener Schaden: siebenstellig.
Der Fall stammt aus dem Investorenkontext. Personalverantwortliche begegnen demselben Muster ständig, wenngleich in anderer Verpackung. Drei von vier Unternehmen in EMEA entdecken beim Screening von Bewerbenden Unstimmigkeiten, so der HireRight Global Benchmark Report 2025. Fast jede zweite Diskrepanz betrifft Bildungsabschlüsse. Die Zahl beschreibt allerdings nur jenen Bruchteil der Fälle, in dem überhaupt strukturiert geprüft wurde.
Die meisten deutschen und schweizerischen Unternehmen prüfen nicht systematisch. Sie tun dies nicht aus Nachlässigkeit, sondern aus Unsicherheit:
- Was darf HR rechtskonform verifizieren?
- Wo endet Sorgfaltspflicht, wo beginnt Datenschutzverstoß?
Dieser Beitrag löst die Unsicherheit auf. Background Checks sind kein Graubereich. Wer den Rahmen kennt, prüft professionell und datenschutzkonform. Wer ihn nicht kennt, schwankt zwischen zwei Fehlern: gar nicht prüfen oder zu viel.
Warum Hintergrundprüfungen 2026 zum Pflichtprogramm gehören
Die Risikolage hat sich verschoben. Laut Bitkom-Studie „Wirtschaftsschutz 2024“ waren 81% der deutschen Unternehmen in den letzten zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen. Der Gesamtschaden lag bei 266,6 Milliarden Euro. Dies ist ein Plus 29% gegenüber dem Vorjahr. Der Verizon Data Breach Investigations Report 2025 ergänzt: 29% aller Sicherheitsvorfälle in EMEA stammen von internen Akteuren.
Hinzu kommt der KI-Effekt. Gartner prognostiziert, dass bis 2028 jedes vierte Bewerberprofil weltweit zumindest teilweise gefälscht sein wird. Die Society for Human Resource Management beziffert die Kosten einer Fehlbesetzung im Schnitt auf 40% eines Jahresgehalts; bei Führungspositionen das Mehrfache.
Wer in dieser Lage nicht prüft, übernimmt ein Risiko, das vermeidbar wäre.
Der rechtliche Rahmen — was viele Personalverantwortliche nicht mehr wissen
Lange galt § 26 Abs. 1 BDSG als zentrale Norm für Datenverarbeitung im Beschäftigungskontext. Diese Sicht ist überholt. Der Europäische Gerichtshof hat in den Urteilen vom 30. März 2023 (C‑34/21) und vom 19. Dezember 2024 (C‑65/23, „Workday“) entschieden, dass § 26 Abs. 1 S. 1 BDSG nicht den Anforderungen einer „spezifischeren Vorschrift“ im Sinne von Art. 88 DSGVO genügt und damit unanwendbar ist.
Konsequenz: Rechtsgrundlage ist unmittelbar Art. 6 Abs. 1 DSGVO. Zwei Tatbestände sind maßgeblich. Lit. b (vorvertragliche Maßnahmen) ist die primäre Grundlage für die Datenverarbeitung im Bewerbungsverfahren, einschließlich Hintergrundprüfungen zur Eignungsabklärung. Lit. f (berechtigtes Interesse) trägt vertiefte Prüfungen bei sensiblen Vertrauensstellungen, sofern eine dokumentierte Interessenabwägung vorliegt.
Ein neues Beschäftigtendatengesetz war Ende 2024 im Referentenentwurf, ist nach der Bundestagswahl 2025 jedoch nicht verabschiedet worden. Die Lage bleibt im Umbruch. Aber sie ist nicht offen.
Was Sie prüfen dürfen — vier saubere Kategorien
Zulässig ist, was tätigkeitsbezogen und verhältnismäßig ist. Innerhalb dieser Leitplanken haben sich vier Prüfkategorien etabliert.
Identität
Ein Abgleich von Pass oder Personalausweis ist zur Vertragsanbahnung erforderlich und nach lit. b unproblematisch.
Berufliche Stationen
Die Verifikation früherer Anstellungen — Zeitraum, Position, Aufgabengebiet — bei den ehemaligen Arbeitgebern ist zulässig, sofern Bewerbende vorab informiert werden.
Bildungsabschlüsse
Die Echtheitsprüfung von Diplomen und Zertifikaten bei der ausstellenden Institution ist zulässig und in EMEA der häufigste Fundort für Diskrepanzen. Die Bandbreite reicht von unplausibel verkürzten Ausbildungszeiten, etwa eine Lehre zum Außenhandelskaufmann, die angeblich in sechs Monaten absolviert wurde, bis zu komplett erfundenen Hochschulabschlüssen samt Titel. Eine fünfminütige Direktanfrage beim Aussteller beendet das Spiel.
Berufliche Reputation auf zweckgewidmeten Plattformen
Die Sichtung öffentlich einsehbarer Profile auf LinkedIn oder Xing ist nach Art. 6 Abs. 1 lit. f DSGVO zulässig. Diese Plattformen sind ausdrücklich für berufliche Selbstdarstellung gewidmet.
Diese vier Kategorien decken den überwiegenden Teil sinnvoller Hintergrundprüfungen ab. Wer hier sauber arbeitet, prüft genug.
Was außerhalb der Zulässigkeit liegt — und warum es teuer wird
Die Verlockung ist groß, mehr zu prüfen. Das Risiko ebenfalls.
Unzulässig sind Fragen nach Schwangerschaft (BAG, 6. Februar 2003, 2 AZR 621/01), nach Vorstrafen ohne konkreten Tätigkeitsbezug (BAG, 15. November 2012, 6 AZR 339/11) und nach einer Schwerbehinderung in den ersten sechs Beschäftigungsmonaten (BAG, 16. Februar 2012, 6 AZR 553/10). Bonitätsprüfungen sind nur bei Positionen mit besonderem Vermögensbezug zulässig, also bei Positionen rund um Kasse, Vorstand, Treuhand.
Wer dennoch prüft, riskiert nicht nur ein DSGVO-Verfahren. Nach § 22 AGG genügt bereits die Erhebung eines geschützten Merkmals als Indiz für eine Benachteiligung und die Beweislast dreht sich um. § 15 AGG gewährt abgelehnten Bewerbenden Entschädigungen von bis zu drei Bruttomonatsgehältern. Bei Führungspositionen schnell fünfstellig pro Fall.
Einwilligung oder berechtigtes Interesse — der häufigste Praxisfehler
Viele Unternehmen lösen die Frage der Rechtsgrundlage mit einer pauschalen Einwilligungsklausel im Bewerbungsformular. Das ist juristisch riskant.
Eine Einwilligung im Beschäftigungskontext gilt als problematisch. Erwägungsgrund 43 und Art. 7 Abs. 4 DSGVO nennen das Ungleichgewicht zwischen Bewerber:in und Arbeitgeber als Hauptgrund. Eine freiwillige Zustimmung lässt sich in dieser Situation kaum konstruieren.
Sauberer ist es, sich an Art. 6 Abs. 1 lit. b zu halten — vorvertragliche Maßnahme — und nur dort, wo eine vertiefte Prüfung darüber hinausgeht, eine dokumentierte Abwägung nach lit. f vorzunehmen. Entscheidend ist in jedem Fall die Informationspflicht aus Art. 13 und Art. 14 DSGVO: Bewerbende sind über Art, Umfang und Quellen der Recherche aufzuklären auch bei öffentlich zugänglichen Daten.
Wenn es teuer wird
Wie teuer die Vernachlässigung dieses Schritts wird, zeigt ein Fall, der inzwischen höchstrichterlich entschieden ist. Die Heinrich-Heine-Universität Düsseldorf hatte einen Bewerber gegoogelt und in der Auswahl Informationen aus dem Treffer verwendet ohne ihn darüber zu informieren.
Das LAG Düsseldorf sprach ihm 1.000 Euro Schadensersatz nach Art. 82 DSGVO zu (Urteil vom 10. April 2024, 12 Sa 1007/23), das Bundesarbeitsgericht hat die Entscheidung bestätigt (8 AZR 117/24). Maßstab war Art. 14 DSGVO: Werden personenbezogene Daten nicht bei der betroffenen Person erhoben, muss sie über die Quelle informiert werden, auch wenn die Daten öffentlich zugänglich sind.
Die Pointe ist wichtig: Verboten ist nicht das Prüfen. Verboten ist das Prüfen im Verborgenen. Ein gut formulierter Hinweis im Bewerbungsprozess schafft Transparenz und reduziert das Haftungsrisiko deutlich.
Schweiz — das nDSG fordert Verhältnismäßigkeit als Kernprinzip
In der Schweiz gilt seit dem 1. September 2023 das revidierte Datenschutzgesetz. Für Hintergrundprüfungen sind zwei Normen zentral.
Art. 6 nDSG schreibt die Grundsätze fest: Rechtmäßigkeit, Verhältnismäßigkeit, Treu und Glauben, Zweckbindung. OR Art. 328b zieht die Schranke enger: Der Arbeitgeber darf Daten nur bearbeiten, soweit sie die Eignung für das Arbeitsverhältnis betreffen oder zur Vertragsdurchführung erforderlich sind.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) bestätigt diese Linie: Strafregisterauszüge sind nur bei klarem Tätigkeitsbezug erlaubt — etwa im Finanzsektor oder in Berufen mit Kontakt zu Kindern und Jugendlichen. Bewerbende sind zu informieren.
Wer aus Deutschland Bewerbende in der Schweiz prüft oder umgekehrt, sollte den jeweils strengeren Standard anwenden. In der Praxis ist das in den meisten Fällen das Schweizer Verhältnismäßigkeitsprinzip.
Drittlandstransfers — der unterschätzte Stolperstein
Sobald ein Dienstleister Daten außerhalb der EU verarbeitet, greift Schrems II (EuGH, 16. Juli 2020, C‑311/18). Drei Bausteine sind dann verpflichtend: die Standardvertragsklauseln vom 4. Juni 2021, ein dokumentiertes Transfer Impact Assessment, und ergänzende Schutzmaßnahmen wie Verschlüsselung. Hinzu kommt der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
Für die USA gilt zwar seit dem 10. Juli 2023 der EU-US Data Privacy Framework — sein politischer Status hat sich nach den Executive Orders der zweiten Trump-Administration jedoch verändert. Ein eigenes Transfer Impact Assessment bleibt empfehlenswert.
Praktische Konsequenz: Prüfen Sie, wo Ihr Dienstleister Daten tatsächlich verarbeitet. Europäische Datenhaltung erspart Ihnen mehrere Schichten Compliance-Aufwand.
Sieben Punkte für einen rechtssicheren Prüfprozess
Wer Background Checks DSGVO-konform aufsetzen will, kommt mit sieben Punkten weit:
- Tätigkeitsbezug schriftlich definieren. Welche Prüfungen sind für welche Position erforderlich? Halten Sie das in einer internen Richtlinie fest.
- Rechtsgrundlage benennen. Pro Prüfschritt klären: lit. b oder lit. f? Bei lit. f Interessenabwägung dokumentieren.
- Nur erheben, was tätigkeitsrelevant ist. Im Zweifel weniger.
- Vorab informieren. Hinweis nach Art. 13/14 DSGVO im Bewerbungsprozess, verständlich und nicht versteckt.
- Quellen begrenzen. Berufliche Plattformen sowie Verifikation bei ehemaligen Arbeitgebern und Ausstellern, private Profile sind Tabu.
- Externe Dienstleister sauber binden. Auftragsverarbeitungsvertrag nach Art. 28, bei Drittlandstransfer zusätzlich SCC und TIA.
- Ergebnisse dokumentieren und löschen. Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO — typischerweise sechs Monate nach Bewerbungsende, soweit kein anderer Rechtsgrund besteht.
Was bleibt: Sorgfaltspflicht und Datenschutz sind kein Gegensatz
Die Diskussion über Background Checks läuft oft in eine falsche Richtung. Sie wird geführt, als müsste man sich zwischen sorgfältiger Personalauswahl und Datenschutz entscheiden. Das Gegenteil ist richtig.
Ein professioneller Prüfprozess schützt das Unternehmen vor Fehlbesetzungen, Reputationsschäden und Insider-Risiken. Und er schützt zugleich jene Bewerbenden, die ehrliche Angaben machen, davor, mit denen verglichen zu werden, die ihre Lebensläufe schönen. Der rechtliche Rahmen ist kein Hindernis, sondern eine Strukturhilfe.
Eine Faustregel aus der Praxis: Etwa drei Prozent einer Belegschaft pro Monat sind aus regulatorischen oder personellen Gründen prüfrelevant, seien es Neueinstellungen, Re-Screenings, Beförderungen in Vertrauensstellungen. Wer diesen Rahmen kennt, kann ihn nutzen.
Wer ihn nicht kennt, prüft entweder zu wenig oder das Falsche.
Nabil el Berr ist Rechtsanwalt und Managing Director der INDICIUM Technologies GmbH mit Sitz in Hamburg. Mit dem INDICIUM Digital Analyst (IDA) betreibt das Unternehmen eine SaaS-Plattform für rechtskonforme Hintergrundprüfungen und Compliance-Screenings im DACH-Raum — über 300 Prüfungen im vergangenen Jahr.
Newsletter