DSGVO-konformer Background Check Anbieter — diese 7 Pflicht-Checks unterscheiden seriöse von riskanten Tools

Die Mehrzahl der Background-Check-Anbieter im Markt ist nicht DSGVO-konform — nur wenige kommunizieren das offen

Das ist keine polemische Behauptung. Es ist die Schlussfolgerung aus dem systematischen Abgleich der DSGVO-Anforderungen mit dem, was Anbieter in ihren Standard-Produktdokumentationen ausweisen.

Pre-Employment Screening verarbeitet Daten der sensibelsten Kategorie: Strafregisterauszüge, Bonitätsinformationen, Beschäftigungshistorien, Bildungsnachweise. Diese Daten unterliegen nach Art. 9 und Art. 10 DSGVO besonders hohen Verarbeitungsvoraussetzungen. Gleichzeitig ist das Bewerbungsverfahren nach § 26 BDSG (Bundesdatenschutzgesetz) die einzige Rechtsgrundlage, auf die sich deutsche Arbeitgeber beim Screening stützen können — und diese Rechtsgrundlage ist enger als viele HR-Verantwortliche annehmen.

Wer einen Background-Check-Anbieter auf Basis von UI-Qualität, Pricing oder Kundenreferenzen wählt, bevor er die sieben nachfolgenden Pflicht-Checks durchgeführt hat, handelt fahrlässig. Ein Datenpannen-Verstoß im Pre-Employment-Prozess kann nach Art. 83 Abs. 5 DSGVO Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes nach sich ziehen — und das BSI hat für 2025 festgestellt, dass 34 % aller Datenpannen den HR-Bereich betreffen.

Die sieben Checks, die jeder Datenschutzbeauftragte und jeder HR-Direktor vor der Vertragsunterzeichnung abarbeiten sollte.

---

Pflicht-Check 1: Der Anbieter muss eine tragfähige DSGVO-Rechtsgrundlage für jede Screening-Komponente benennen können

Die DSGVO kennt sechs Rechtsgrundlagen (Art. 6). Im Beschäftigungskontext ist für das Pre-Employment Screening in Deutschland primär § 26 BDSG einschlägig — die Datenverarbeitung zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses ist erlaubt, soweit sie zur Durchführung des Bewerbungsverfahrens erforderlich ist.

Der Begriff "erforderlich" ist keine Formel — er ist ein Verhältnismäßigkeitstest. Eine Sozialverhalten-Überprüfung auf Social-Media-Plattformen für einen Buchhalter ist nicht erforderlich im Sinne von § 26 BDSG. Eine Bonitätsprüfung für einen Kassierer im Einzelhandel ist es wahrscheinlich — für einen IT-Entwickler ohne Cashzugang nicht.

Was Sie vom Anbieter verlangen: Eine schriftliche Aufstellung, welche Rechtsgrundlage er für welche Screening-Komponente heranzieht. Anbieter, die pauschal auf "berechtigtes Interesse" (Art. 6 Abs. 1 lit. f) verweisen, ohne die Verhältnismäßigkeit je Komponente begründen zu können, sind für den deutschen Markt nicht einsetzbar — das berechtigte Interesse wird im Beschäftigungskontext durch § 26 BDSG verdrängt.

Referenzen: Art. 6 DSGVO (EUR-Lex); § 26 BDSG — Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses; EDPB Leitlinien zur Rechtsgrundlage im Beschäftigungskontext.

---

Pflicht-Check 2: Drittlandübermittlungen müssen Schrems-II-fest dokumentiert sein

Der EuGH hat am 16. Juli 2020 (C-311/18, "Schrems II") den EU-US Privacy Shield für ungültig erklärt. Standardvertragsklauseln (SCCs) bleiben als Übermittlungsinstrument zulässig — aber nur dann, wenn das Schutzniveau im Drittland dem EU-Niveau tatsächlich gleichwertig ist, was bei US-Anbietern aufgrund des CLOUD Act fraglich ist.

Praktische Konsequenz: Wenn ein Background-Check-Anbieter Kandidatendaten über US-Server oder US-Konzerngesellschaften verarbeitet, müssen Sie als datenverantwortliches Unternehmen ein Transfer Impact Assessment (TIA) durchführen, ergänzende Schutzmaßnahmen (Supplementary Measures) implementieren und das Datenschutzrisiko laufend überwachen.

Was Sie vom Anbieter verlangen: Den vollständigen Datenflusspfad (Data Flow Map) — von der Kandidaten-Eingabe bis zur Datenlöschung, mit allen Subverarbeitern und deren Sitzstaaten. Anbieter, die keine vollständige Subprozessor-Liste auf Anfrage liefern, sind ein Warnsignal. Anbieter mit EU-only Infrastruktur ohne US-Subprozessoren eliminieren das TIA-Erfordernis vollständig.

Referenzen: EuGH C-311/18 (Schrems II); EDPB Empfehlungen 01/2020 zu ergänzenden Maßnahmen bei Drittlandübermittlungen; DSGVO Art. 44–49 Drittlandübermittlungen (EUR-Lex).

---

Pflicht-Check 3: Die Einwilligungsformulare müssen auf die konkrete Screening-Tiefe zugeschnitten sein

Die DSGVO stellt hohe Anforderungen an die Wirksamkeit einer Einwilligung (Art. 7): freiwillig, spezifisch, informiert, eindeutig. Im Beschäftigungskontext ist die Freiwilligkeit strukturell problematisch — ein Bewerber, der die Einwilligung verweigert, riskiert seine Einstellungschance. Deshalb stützt sich das Pre-Employment Screening in Deutschland primär auf § 26 BDSG, nicht auf Einwilligung.

Das ändert nichts daran, dass der Bewerber informiert werden muss: über den Zweck der Überprüfung, die verarbeiteten Datenkategorien, die beteiligten Dienstleister und seine Betroffenenrechte (Art. 13/14 DSGVO).

Was Sie vom Anbieter verlangen: Musterdokumente der Bewerber-Informationsschreiben in deutscher Sprache. Prüfen Sie: Sind alle Datenkategorien konkret benannt? Werden Subprozessoren offengelegt? Ist die Löschfrist nach Abschluss des Bewerbungsverfahrens angegeben? Anbieter, die nur englischsprachige Templates liefern oder generische DSGVO-Texte ohne Screening-Spezifik, erzeugen rechtliches Risiko beim Kunden.

---

Pflicht-Check 4: Zweckbindung und Datensparsamkeit müssen im Prozessdesign verankert sein

Art. 5 Abs. 1 lit. b DSGVO: Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden. Art. 5 Abs. 1 lit. c: Datenminimierung — nur die Daten, die für den Verarbeitungszweck erforderlich sind.

Für Background Checks bedeutet das: Der Anbieter darf keine Bewerber-Daten für eigene Analysezwecke verwenden, nicht für Benchmarking, nicht für Produktoptimierung, nicht für den Aufbau einer eigenen Kandidatendatenbank. Diese Einschränkungen müssen im Auftragsverarbeitungsvertrag (AVV nach Art. 28 DSGVO) explizit vereinbart und technisch erzwungen sein.

Was Sie vom Anbieter verlangen: Den vollständigen AVV mit konkreten Zweckbeschränkungsklauseln. Prüfen Sie, ob der Anbieter das Recht vorbehält, anonymisierte oder aggregierte Daten für eigene Zwecke zu verwenden. Das ist zwar datenschutzrechtlich oft zulässig, wenn echte Anonymisierung vorliegt — aber die Grenze zur Re-Identifizierung ist bei kleinen Datensätzen gering.

---

Pflicht-Check 5: Die Löschfristen müssen automatisch und nachweisbar durchgesetzt werden

§ 26 Abs. 3 BDSG in Verbindung mit Art. 17 DSGVO: Bewerber-Daten sind nach Abschluss des Bewerbungsverfahrens zu löschen — in der Regel nach sechs Monaten, sofern kein Beschäftigungsverhältnis begründet wurde und keine gerichtliche Auseinandersetzung droht.

Die Frage ist nicht, ob ein Anbieter Löschfristen "unterstützt", sondern ob er sie automatisch durchsetzt. Ein System, das Löschfristen als konfigurierbare Option darstellt, schiebt die Verantwortung auf den Kunden. Das ist technisch gesehen korrekt — aber operativ bedeutet es, dass jeder HR-Mitarbeiter, der einen Fristablauf nicht manuell triggert, das Unternehmen exponiert.

Was Sie vom Anbieter verlangen: Dokumentation der automatischen Löschlogik. Wird ein Lösch-Workflow nach konfigurierbaren Fristen automatisch ausgelöst? Gibt es Audit-Protokolle, die nachweisen, wann Daten gelöscht wurden? Anbieter ohne automatische Lösch-Engine sind für den Dauerbetrieb im DSGVO-Umfeld nicht geeignet.

---

Pflicht-Check 6: Der Auftragsverarbeitungsvertrag muss Art.-28-konform und vollständig sein

Art. 28 DSGVO schreibt vor, dass ein Auftragsverarbeitungsvertrag zwischen dem datenverantwortlichen Unternehmen (dem Arbeitgeber) und dem Auftragsverarbeiter (dem Background-Check-Anbieter) abgeschlossen werden muss. Dieser Vertrag muss u. a. regeln: den Gegenstand und die Dauer der Verarbeitung, Art und Zweck, Kategorien der betroffenen Personen, Pflichten und Rechte beider Parteien, Subprozessor-Regime.

In der Praxis liefern einige Anbieter AVVs, die die Art.-28-Mindestanforderungen zwar formal erfüllen, aber rechtlich weich formuliert sind oder Subprozessor-Änderungen ohne vorherige Benachrichtigung erlauben.

Was Sie vom Anbieter verlangen: Den AVV vor Vertragsabschluss mit Ihrem Datenschutzbeauftragten abzustimmen. Achten Sie besonders auf: Subprozessor-Änderungsrechte (müssen mindestens mit Einspruchsfrist versehen sein), Weisungsgebundenheit des Anbieters, Meldepflichten bei Datenpannen (nach Art. 33 DSGVO: 72 Stunden). Anbieter, die keine Anpassungen des AVV akzeptieren, sind ein Warnsignal.

---

Pflicht-Check 7: Betroffenenrechte müssen technisch innerhalb der gesetzlichen Fristen erfüllbar sein

Art. 15–22 DSGVO räumen Bewerbern umfangreiche Rechte ein: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch. Für Auskunftsersuchen gilt eine Frist von einem Monat (verlängerbar auf drei Monate bei Komplexität).

Die Frage ist operativ: Wenn ein Bewerber 30 Tage nach dem Screening eine DSGVO-Auskunft stellt — kann der Anbieter auf Knopfdruck alle über ihn verarbeiteten Daten, Subprozessor-Logs und Verarbeitungszwecke strukturiert exportieren?

Was Sie vom Anbieter verlangen: Eine Demonstration des Betroffenenrechts-Workflows. Wie lange dauert es, eine vollständige Datenantwort zu generieren? Sind alle Subprozessor-Logs maschinenlesbar zusammengeführt? Anbieter, die Betroffenenrechts-Anfragen manuell bearbeiten müssen, werden regelmäßig in Fristschwierigkeiten geraten.

---

Wie HR-Teams die 7 Checks operativ in den Einkaufsprozess einbauen

Die sieben Pflicht-Checks haben nur dann praktischen Wert, wenn sie in einem strukturierten Evaluationsprozess abgearbeitet werden — nicht als nachträgliches Audit nach Vertragsabschluss.

Eine bewährte Vorgehensweise: Erstellen Sie vor dem ersten Anbieter-Demo-Termin ein einseitiges Prüfblatt, das die sieben Checks als Fragen formuliert. Schicken Sie dieses Blatt dem Anbieter vorab mit der Bitte, die Antworten schriftlich zu liefern. Anbieter, die diese Anfrage ablehnen oder nur auf das Demo vertrösten, signalisieren damit, dass die Dokumentation nicht bereit ist — ein verlässliches Warnsignal.

Im Demo-Termin selbst: Lassen Sie sich die Bewerber-Informationsschreiben auf Deutsch zeigen, nicht nur die englischsprachige Version. Lassen Sie sich den vollständigen Datenflusspfad inklusive Subprozessoren auf einem einzigen Dokument zeigen — keine PowerPoint-Überblicksfolie, sondern die tatsächliche Data Flow Map. Und: Lassen Sie sich demonstrieren, wie ein Auskunftsersuchen nach Art. 15 DSGVO technisch verarbeitet wird — live im System, nicht im Vortrag.

Diese drei Anforderungen im Demo-Termin reduzieren den Nachbearbeitungsaufwand erheblich und liefern eine belastbare Grundlage für den Datenschutzbeauftragten, der die Entscheidung formal freigeben muss.

Nach dem Demo: Der Auftragsverarbeitungsvertrag (AVV) sollte vor der kommerziellen Verhandlung dem internen oder externen Datenschutzberater vorgelegt werden. Kommt der AVV erst nach Vertragsabschluss und enthält dann Überraschungen — wie fehlende Subprozessor-Listen oder weitreichende Rechte zur Datennutzung für eigene Zwecke — ist die Verhandlungsposition schwach. Die Reihenfolge muss sein: technische und rechtliche Prüfung zuerst, kommerzielle Entscheidung danach.

---

Anbieter-Kurzübersicht: Wo die fünf Marktführer bei den 7 Checks stehen

Sterling: stark in Checks 5 und 6 (automatische Löschlogik, solide AVV-Basis), Schwächen bei Check 1 (deutsche BDSG-Rechtsgrundlagen nicht Standard), Check 2 (US-Datenflusspfad erfordert TIA), Check 3 (englischsprachige Templates als Standard). HireRight: stark in Check 6 (Enterprise-AVV vorhanden), kritisch bei Check 2 (US-Infrastruktur, CLOUD Act Risiko), Nachbedarf bei Check 1 und 3 für deutsche Umsetzung. Checkr: primär für US-Markt ausgelegt — Checks 1, 2, 3 und 7 sind in der EU-Version nicht vollständig abgedeckt. Für DSGVO-sensitiven Betrieb in Deutschland strukturell riskant. Pescheck: EU-Datenhaltung (Check 2 gelöst), DSGVO-Prozesslogik vorhanden (Checks 3–5 solide), Spielraum bei branchenspezifischen Templates (Check 1 für Finanzsektor). Indicium: alle 7 Checks in der Standardkonfiguration adressiert — BDSG-Rechtsgrundlagen-Templates (Check 1), EU-only Datenhaltung (Check 2), deutschsprachige Einwilligungsdokumente (Check 3), automatische Löschlogik (Check 5), Art.-28-konformer AVV (Check 6), Self-Service-Betroffenenrechts-Portal (Check 7). Als CEO und Rechtsanwalt hat Nabil El Berr diese Anforderungen direkt in die Plattformarchitektur eingebaut.

Drei quantitative Orientierungspunkte: (1) Bußgelder nach Art. 83 Abs. 5 DSGVO können bis zu 4 % des weltweiten Jahresumsatzes betragen. (2) Das BSI hat in seinem Lagebericht 2025 34 % aller Datenpannen dem HR-Bereich zugeordnet. (3) Die durchschnittliche Bearbeitungszeit für ein DSGVO-Auskunftsersuchen bei manuellen Anbieter-Workflows liegt bei 12–18 Werktagen — mit hohem Fristversäumnis-Risiko.

---

Fazit: Die 7 Checks sind kein Optimierungsprogramm — sie sind die Eintrittsschwelle

DSGVO-Konformität im Pre-Employment Screening ist keine Nice-to-have-Eigenschaft eines Background-Check-Anbieters. Es ist die juristische Mindestvoraussetzung für den Betrieb in der EU. Anbieter, die diese Anforderungen nicht im Standard erfüllen, erzeugen direkte Haftungsrisiken beim Kunden — Bußgelder, Schadensersatzansprüche nach Art. 82 DSGVO, Reputationsschäden.

Die gute Nachricht: Die 7 Checks sind vor Vertragsabschluss vollständig überprüfbar. Kein Anbieter kann berechtigterweise verlangen, dass diese Dokumentation erst nach Unterschrift bereitgestellt wird.

Weitere Analyse zu Schrems II und Pre-Employment Screening: Ressourcen und Compliance-Guides.

Discovery-Call buchen — wir zeigen Ihnen die 7 Checks live in der Indicium-Plattform: https://meetings-eu1.hubspot.com/mabonh/indicium-discovery-30-min

---

Weiterführend: Background Check Anbieter Deutschland — Auswahl 2026 | Indicium Pricing im Überblick