Das Googeln von Bewerbern gehört inzwischen für viele Arbeitgeber zum Auswahlprozess – doch datenschutzrechtlich ist das Googeln von Bewerbern nur unter engen Voraussetzungen zulässig. Die Frage „Darf man Bewerber googeln?“ beschäftigt nun auch die Arbeitsgerichte. In einem aktuellen Fall musste sich das Bundesarbeitsgericht (BAG) mit den rechtlichen Grenzen digitaler Recherchen im Bewerbungsverfahren befassen. Entscheidend ist dabei, welche Informationspflichten Arbeitgeber beim Googeln von Bewerbern einhalten müssen, um Bußgelder oder Schadensersatzansprüche zu vermeiden.
Der Fall vor dem LAG Düsseldorf
Ein erfahrener Jurist bewarb sich im Jahr 2021 auf eine befristete Volljuristenstelle im Justiziariat einer Universität. Nachdem einem Mitglied der Auswahlkommission der Name des Bewerbers bekannt vorkam, wurde eine Google-Recherche durchgeführt. Diese förderte eine nicht rechtskräftige Verurteilung des Bewerbers wegen mehrfachen (versuchten) Betrugs zutage – verbunden mit dem Vorwurf, fingierte AGG-Klagen inszeniert zu haben. Entdeckt wurde diese Information dabei auf der bekannten Nachschlageplattform Wikipedia. Die Universität entschied sich letztlich gegen ihn und vermerkte die Rechercheergebnisse im Auswahlvermerk, ohne den Bewerber darüber zu informieren. Aus der Dokumentation über die Bewerbung und das Vorstellungsgespräch ging jedoch hervor, dass die Ablehnung des Bewerbers nicht nur auf das (noch nicht rechtskräftige) Urteil zurückzuführen war, sondern auch auf seine fachliche und persönliche Eignung. Eine andere Bewerberin passte schlichtweg besser zur Stelle.
Rechtliche Grundlagen für das Googeln von Bewerbern
Das Landesarbeitsgericht Düsseldorf stellte klar:
- Eine Google-Recherche über Bewerber sei datenschutzrechtlich zulässig, sofern sie zweckgebunden und erforderlich sei.
- Im öffentlichen Dienst begründe Art. 33 Abs. 2 GG die Pflicht zur Eignungsprüfung – eine legitime Grundlage für eine Internetrecherche nach Art. 6 Abs. 1 lit. b DSGVO.
- Allerdings sei Art. 14 Abs. 1 lit. d DSGVO verletzt worden: Die Universität habe den Bewerber nicht über die Datenkategorie „strafrechtliche Verurteilung“ informiert – ein Verstoß gegen Transparenzpflichten.
Für diesen Datenschutzverstoß sprach das Gericht dem Kläger 1.000 Euro Schadensersatz zu. Die fehlende Information habe zu einem Kontrollverlust über seine Daten geführt, was einen immateriellen Schaden darstelle.
Grenzen beim Googeln von Bewerbern nach der DSGVO
Internetrecherchen über Bewerber sind datenschutzrechtlich nur unter engen Voraussetzungen zulässig. Arbeitgeber dürfen grundsätzlich nur öffentlich zugängliche Informationen verarbeiten – etwa Presseartikel, Firmenwebsites oder Wikipedia-Einträge –, sofern diese einen konkreten Bezug zur beruflichen Eignung des Bewerbers haben.
Nicht erlaubt sind allgemeine oder neugiergetriebene Recherchen („Schnüffeleien“) in sozialen Netzwerken, insbesondere wenn diese private Lebensbereiche betreffen oder Profile nicht öffentlich zugänglich sind. Auch sensible Daten im Sinne von Art. 9 DSGVO (z. B. politische Meinung, Religion, sexuelle Orientierung) dürfen nicht verarbeitet werden.
Zudem gilt der Grundsatz der Datendirekterhebung: Informationen sollen primär beim Bewerber selbst eingeholt oder zumindest unverzüglich offengelegt werden, wenn sie aus anderen Quellen stammen. Die Verarbeitung ist nur zulässig, wenn sie zur Begründung des Arbeitsverhältnisses erforderlich ist (§ 26 Abs. 1 BDSG) oder auf einer freiwilligen, informierten Einwilligung beruht – wobei Letztere wegen des Machtgefälles im Bewerbungsverfahren nur ausnahmsweise wirksam sein dürfte.
Schadensersatz beim Googeln von Bewerbern
Kontrollverlust als immaterieller Schaden
Das Urteil des LAG Düsseldorf orientiert sich eng an der neueren Rechtsprechung des EuGH, wonach bereits der Kontrollverlust über personenbezogene Daten einen ersatzfähigen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO begründen kann. Der EuGH stellte in der vielbeachteten Entscheidung „Österreichische Post“ (Urt. v. 4.5.2023) klar, dass nicht jeder DSGVO-Verstoß automatisch zu einem Anspruch auf Schadensersatz führt. Vielmehr sind drei Voraussetzungen kumulativ erforderlich:
- ein Verstoß gegen die DSGVO,
- ein konkreter materieller oder immaterieller Schaden und
- ein ursächlicher Zusammenhang zwischen beidem.
Im genannten Fall hatte die Österreichische Post ohne individuelle Einwilligung politische Affinitäten ihrer Kunden berechnet. Ein Betroffener klagte auf 1.000 Euro Schadensersatz wegen des damit verbundenen Kontrollverlusts über seine Daten. Der EuGH betonte, dass auch geringe, nicht bagatellartige Beeinträchtigungen wie Gefühle der Bloßstellung, Angst oder Verunsicherung ersatzfähig sein können – allerdings nicht der bloße DSGVO-Verstoß an sich, sondern nur dessen konkrete nachteilige Wirkung.
Kausalität und rechtmäßiges Alternativverhalten im Fall des LAG Düsseldorf
Im Verfahren vor dem LAG Düsseldorf bleibt fraglich, ob die vom Kläger geltend gemachte Beeinträchtigung kausal auf den Datenschutzverstoß – konkret: die unterlassene Information gemäß Art. 14 DSGVO – zurückzuführen ist. Kritiker bemängeln, dass der Schaden auch dann eingetreten wäre, wenn die Universität den Bewerber ordnungsgemäß informiert hätte. In diesem Fall hätte die Auswahlentscheidung voraussichtlich trotzdem gegen ihn ausfallen müssen, da seine – wenn auch nicht rechtskräftige – Verurteilung als Eignungshindernis angesehen wurde. Dieses Szenario wird als „rechtmäßiges Alternativverhalten“ bezeichnet und kann den Kausalzusammenhang entfallen lassen.
Ein Vergleich mit einer aktuellen Entscheidung des Bundesgerichtshofs (Urt. v. 18.11.2024) verdeutlicht zudem, dass bei ähnlichen Sachverhalten, in denen der Kontrollverlust über personenbezogene Daten als Schaden anerkannt wurde, deutlich geringere Beträge – in diesem Fall 100 Euro – als ausreichend angesehen wurden. Die vom LAG zugesprochenen 1.000 Euro werfen daher auch die Frage nach der Verhältnismäßigkeit der Schadenshöhe auf.
Pflichten für Arbeitgeber beim Googeln von Bewerbern
Öffentliche Arbeitgeber
- Müssen Rechercheergebnisse transparent offenlegen, sofern diese in die Auswahlentscheidung einfließen.
- Die Verwertung ist zulässig, ein Beweisverwertungsverbot besteht nicht – aber nur nach erfolgter Information.
Private Arbeitgeber
- Für sie bleibt offen, ob Art. 6 Abs. 1 lit. b DSGVO ebenfalls als Grundlage reicht, da das LAG seine Argumentation auf Art. 33 Abs. 2 GG stützt.
- Es empfiehlt sich, Datenschutzhinweise im Bewerbungsverfahren proaktiv zu erweitern und auf mögliche Internetrecherchen hinzuweisen.
Ausblick auf die BAG-Entscheidung
Die Revision wurde bereits eingelegt, sodass das BAG voraussichtlich bald klären wird:
- Ob bereits der Kontrollverlust über nicht mitgeteilte Daten einen ersatzfähigen Schaden darstellt.
- Welche Pflichten Arbeitgeber bei Recherchen über Bewerber konkret einhalten müssen.
- Ob der Fall auf private Arbeitgeber übertragbar ist – oder nur für öffentliche Dienstherren gilt.
Eine Entscheidung mit grundsätzlicher Bedeutung für den Umgang mit digitalen Spuren im Bewerbungsprozess steht bevor.
Fazit zum Googeln von Bewerbern
Die Entscheidung des LAG Düsseldorf und das anhängige Verfahren vor dem BAG bringen neue Schärfe in die Diskussion um digitale Bewerberprüfungen. Klar ist: Arbeitgeber dürfen googeln – aber nicht heimlich. Bewerber haben ein Recht auf Transparenz, und bei Missachtung drohen Schadensersatzansprüche – auch ohne grobes Verschulden. Die BAG-Entscheidung könnte neue Maßstäbe setzen – insbesondere beim Umgang mit digitalen Spuren im Bewerbungsverfahren. Das Googeln von Bewerbern wird dabei zur entscheidenden Compliance-Frage.
Fragen zum Googeln von Bewerbern?
Sie sind unsicher, ob das Googeln von Bewerbern in Ihrem Unternehmen datenschutzkonform erfolgt und ob Ihre Informationspflichten nach Art. 14 DSGVO ordnungsgemäß erfüllt werden? Unsere erfahrenen Rechtsanwälte beraten Sie zur rechtssicheren Gestaltung von Bewerbungsverfahren, internen Rechercheprozessen und Datenschutzhinweisen. Vereinbaren Sie ein Teams-Meeting oder stellen Sie direkt Ihre Rechtsfrage – wir unterstützen Sie gerne!
❓ FAQ zum Googeln von Bewerbern
Darf ein Arbeitgeber Bewerber googeln?
Das Googeln von Bewerbern ist zulässig, wenn die Recherche zweckgebunden, erforderlich und auf öffentlich zugängliche, berufsbezogene Informationen beschränkt ist. Arbeitgeber dürfen nur Daten verarbeiten, die für die Eignungsprüfung relevant sind. Private Bereiche und nicht öffentlich einsehbare Inhalte sind tabu.
Muss über das Googeln von Bewerbern informiert werden?
Beim Googeln von Bewerbern besteht eine Informationspflicht nach Art. 14 DSGVO, wenn personenbezogene Daten aus Drittquellen erhoben werden. Arbeitgeber müssen Bewerber grundsätzlich unverzüglich über Quelle, Datenkategorien, Zwecke und Rechtsgrundlage informieren. Unterbleibt diese Transparenz, liegt häufig bereits ein datenschutzrechtlicher Verstoß vor.
Wann ist das Googeln von Bewerbern unzulässig?
Das Googeln von Bewerbern ist unzulässig, wenn kein legitimer, berufsbezogener Zweck vorliegt oder die Recherche über das Erforderliche hinausgeht. Ebenso verboten ist die Verarbeitung sensibler Daten nach Art. 9 DSGVO oder das Ausforschen privater Social-Media-Bereiche. Auch eine fehlende Information nach Art. 14 DSGVO macht die Praxis rechtswidrig.
Kann das Googeln von Bewerbern Schadensersatz auslösen?
Das Googeln von Bewerbern kann Schadensersatz nach Art. 82 DSGVO auslösen, wenn gegen Datenschutzpflichten verstoßen wird, etwa durch fehlende Information oder unzulässige Datenverarbeitung. Gerichte erkennen teils bereits einen Kontrollverlust über personenbezogene Daten als immateriellen Schaden an. Entscheidend sind Verstoß, konkreter Schaden und Kausalität im Einzelfall.
