Internetrecherche bei Bewerbung Schadensersatz

BAG bestätigt: Googeln im Bewerbungsverfahren ohne Informationspflicht kostet 1.000 Euro

Arbeitgeber, die Bewerber im Internet recherchieren, ohne sie darüber zu informieren, riskieren Schadensersatz. Das Bundesarbeitsgericht (BAG) hat eine entsprechende Entscheidung des Landesarbeitsgerichts (LAG) Düsseldorf im Juni 2025 bestätigt. Die Kirchliche Datenschutzaufsicht Ost (KDSA Ost) greift den Fall in ihrem 10. Tätigkeitsbericht 2025 auf und zeigt, welche Pflichten bei Background Checks im Recruiting gelten.

Der Fall: Ein Wikipedia-Eintrag führt zur Ablehnung

Ein Rechtsanwalt bewarb sich auf eine Stelle in der Rechtsabteilung einer Universität. Der Personalleiter erkannte den Namen des Bewerbers und führte eine Google-Suche durch. Dabei stieß er auf einen Wikipedia-Eintrag mit Hinweisen auf ein nicht rechtskräftiges Strafurteil wegen versuchten Betruges. Der Bewerber soll Entschädigungszahlungen nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) durch vorgetäuschte Bewerbungen erschlichen haben. Die Universität lehnte ihn daraufhin ab. Über die Recherche und die Verwendung dieser Daten informierte sie den Bewerber nicht.

Das LAG Düsseldorf sprach dem Kläger 1.000 Euro Schmerzensgeld zu. Die Internetrecherche sei zwar nach Art. 6 Abs. 1 lit. b DS-GVO als erforderlich zur Beurteilung der Eignung anzusehen. Die Universität habe jedoch gegen Art. 14 DS-GVO verstoßen, weil sie den Bewerber nicht über die Quelle und Kategorie der erhobenen Daten informiert hat. Das BAG bestätigte dieses Urteil im Juni 2025.

Informationspflicht gilt auch bei öffentlich zugänglichen Quellen

Art. 14 DS-GVO verpflichtet Verantwortliche, betroffene Personen zu informieren, wenn Daten nicht direkt bei ihnen erhoben wurden. Das gilt auch für öffentlich zugängliche Quellen wie Google oder Wikipedia. Die Information muss spätestens zum Zeitpunkt der ersten Kontaktaufnahme nach der Recherche erfolgen.

Ob die Recherche einen Verstoß gegen ein Beweisverwertungsverbot begründet, verneinte das Gericht. Erarbeitete Beweise bleiben auch dann verwertbar, wenn sie unter Verstoß gegen Art. 14 DS-GVO gewonnen wurden. Für Arbeitgeber bedeutet das: Die Information schützt nicht vor der Nutzung der Erkenntnisse, aber vor einer Schadensersatzpflicht.

Kontrollverlust allein reicht nicht

Das BAG hat klargestellt, dass ein bloßer Kontrollverlust über personenbezogene Daten allein keinen Schadensersatzanspruch begründet. Betroffene müssen einen tatsächlichen Schaden nachweisen, etwa durch Rufschädigung, eine diskriminierende Entscheidung oder die konkrete Nutzung der Daten durch Dritte. Im vorliegenden Fall bejahte das Gericht den Schaden, weil die nicht mitgeteilte und zudem unrichtig wiedergegebene Information über ein Strafurteil die Auswahlentscheidung unmittelbar beeinflusste.

Der Schadensersatz nach Art. 82 DS-GVO hat dabei keine strafende, sondern ausschließlich eine ausgleichende Funktion. Dennoch: 1.000 Euro für einen fehlenden Hinweis sind ein klares Signal.

Unsere Empfehlungen

Unternehmen und KMU

Legen Sie intern fest, ob und unter welchen Voraussetzungen Internetrecherchen über Bewerber zulässig sind. Stellen Sie sicher, dass Bewerber nach jeder Recherche aus öffentlich zugänglichen Quellen eine Datenschutzinformation nach Art. 14 DS-GVO erhalten. Dokumentieren Sie, wann und durch wen eine Recherche durchgeführt wurde.

Behörden und öffentliche Stellen

Der Fall betraf eine Universität. Öffentliche Stellen unterliegen denselben Informationspflichten. Prüfen Sie Ihre Bewerbungsunterlagen und internen Prozesse darauf, ob Background Checks rechtssicher gestaltet und dokumentiert sind.

Kanzleien und Freiberufler

Bei der Besetzung von Stellen mit Zugang zu sensiblen Mandats- oder Patientendaten ist der Wunsch nach Vorabprüfung von Bewerbern verständlich. Auch hier gilt: Recherche ist möglich, aber nur mit transparenter Information und Dokumentation.

Quelle: KDSA Ost, 10. Tätigkeitsbericht 2025, Kapitel 1.2.2

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Art. 17 DS-GVO – Recht auf Löschung (Recht auf Vergessenwerden)
• Meldung von Datenschutzverletzungen nach Art. 33 DS-GVO
• Nachweis der Datenlöschung – So dokumentieren Sie korrekt
• Datenschutzrisiko E-Mails – Was Unternehmen wissen müssen
• Ombudsstelle und Hinweisgebersystem für Hinweisgeber (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking – Blickschutz hilft

Dieser Absatz enthält Affiliatelinks/Werbelinks