Darf ich Background Checks ueberhaupt DSGVO-konform durchfuehren?

Ja. Die DSGVO regelt das in Artikel 6. Du stuetzt Dich auf berechtigtes Interesse (Art. 6 Abs. 1f) oder Einwilligung (Art. 6 Abs. 1a). So bist Du 100% DSGVO-konform.

Verschreckt ein Background Check meine Bewerber?

Im Gegenteil: Ein fairer, digitaler Prozess verbessert die Candidate Experience. Keine wochenlangen Wartezeiten — das schaetzen Top-Bewerber.

Wie schnell erhalte ich die Ergebnisse?

Unsere KI liefert erste Ergebnisse oft in 30 Minuten (Essential Check) statt 2-5 Tagen bei manuellen Berichten.

Warum nicht einfach selbst googeln oder ChatGPT nutzen?

Googeln und ChatGPT liefern unklare, oft veraltete Daten und sind rechtlich riskant. Indicium nutzt verifizierte Quellen wie Moodys und LexisNexis fuer audit-sichere Reports.

Was kostet ein Background Check mit Indicium?

Transparente Abos ab 1.990 EUR/Monat, zugeschnitten auf Dein Hiring-Volumen. 100% planbare Kosten ohne Einzelgebuehren.

Schuetzt ein Background Check vor Innentaetern?

Ja. Indicium prueft automatisiert gegen Sanktionslisten, PEP-Datenbanken und Firmennetzwerke — bevor jemand Zugang zu sensiblen Daten erhaelt.

Kann ich Indicium kostenlos testen?

Ja. 14 Tage kostenlos, 3 Checks inklusive, keine Kreditkarte noetig. Alternativ: kostenlose 30-Minuten-Demo.

DSGVO

Background Check in Deutschland: Was Arbeitgeber 2026 wissen müssen

17.04.2026

DSGVO

Background Check in Deutschland: Was Arbeitgeber 2026 wissen müssen

17.04.2026

Background Check in Deutschland: Was Arbeitgeber 2026 wissen müssen

Ein Background Check in Deutschland ist die systematische Überprüfung von Bewerber-Angaben — von Identität über Qualifikationen bis zu Sanktionslisten. Rechtsgrundlage sind § 26 BDSG (Beschäftigtendatenschutz) und Art. 6 DSGVO. Dieser Leitfaden zeigt, was erlaubt ist, was nicht und wie Du rechtssicher vorgehst.

Was ist ein Background Check?

Ein Background Check ist eine strukturierte Vorab-Prüfung von Bewerber-Angaben. Ziel: sicherstellen, dass die Angaben stimmen und die Person für die Rolle geeignet ist — bevor Du einen Arbeitsvertrag unterschreibst.

Typische Prüfbereiche sind:

Identität: Echtheit des Ausweisdokuments, Abgleich mit den Bewerber-Angaben
Qualifikationen: Abschlüsse, Zeugnisse, Zertifikate
Beruflicher Werdegang: Referenzen, vorherige Rollen, Arbeitszeugnisse
Compliance: Sanktionslisten (EU, UN, OFAC), PEP-Status, GwG-Anforderungen
Reputation: Adverse Media (negative Medienberichte), öffentliche Social-Media-Profile

Rechtsgrundlage in Deutschland

Zwei Normen bilden das Fundament:

§ 26 BDSG — Beschäftigtendatenschutz

Erlaubt die Verarbeitung personenbezogener Daten im Rahmen der Begründung eines Beschäftigungsverhältnisses, soweit dies erforderlich ist. „Erforderlich" heißt: Die Prüfung muss einen konkreten Bezug zur Stelle haben.

Art. 6 DSGVO — Rechtmäßigkeit der Verarbeitung

Rechtsgrundlage ist entweder die Einwilligung des Kandidaten (Art. 6 Abs. 1 lit. a) oder das berechtigte Interesse des Arbeitgebers (Art. 6 Abs. 1 lit. f). In der Praxis: Einwilligung ist der sicherere Weg, weil sie dokumentiert ist.

Was ist erlaubt?

Prüfung von Identität und Ausweisdokumenten
Validierung von Zeugnissen und Qualifikationen
Abgleich gegen Sanktionslisten (EU, UN, OFAC)
PEP-Prüfung nach § 1 Abs. 12 GwG
Adverse Media Screening (negative Medienberichte mit beruflichem Kontext)
Social-Media-Analyse nur bei öffentlich zugänglichen, beruflich relevanten Profilen (z. B. LinkedIn, Xing)
Referenz-Anfragen bei genannten Referenzgebern (mit Einwilligung)

Was ist nicht erlaubt?

Anlasslose Überwachungsmaßnahmen
Durchleuchten privater Social-Media-Profile ohne berechtigtes Interesse
Abfrage von Gesundheitsdaten oder Religionszugehörigkeit (Art. 9 DSGVO, besonders geschützt)
Schufa-Auskunft ohne konkreten Bezug zur Stelle (nur bei Rollen mit finanzieller Verantwortung)
Führungszeugnis außerhalb gesetzlich vorgeschriebener Rollen (§ 30a BZRG)

Was gilt in der Schweiz, Österreich und EU-weit?

Indicium unterstützt Unternehmen europaweit. Hier die Pendants zum deutschen Rechtsrahmen:

Schweiz — revDSG + FINMA

Seit September 2023 gilt das revidierte Datenschutzgesetz (revDSG). Zentrale Bestimmung für Personalprüfungen ist Art. 26 ff. revDSG. Für die Datenbearbeitung im Arbeitsverhältnis gelten zusätzlich Art. 328b OR (Datenbearbeitung durch den Arbeitgeber) und branchenspezifische Normen: FINMA-Rundschreiben für Banken und Versicherer, Art. 3 BankG für Gewährspersonen, Art. 14 VAG für Versicherer. Der Schweizer Datenschutzbeauftragte (EDÖB) überwacht die Einhaltung; Bußgelder richten sich persönlich gegen verantwortliche natürliche Personen und können bis zu CHF 250.000 betragen.

Österreich — DSGVO + § 10 AVRAG

In Österreich gilt die DSGVO direkt, zusätzlich das Arbeitsvertragsrechts-Anpassungsgesetz (§ 10 AVRAG) und § 1151 ABGB als zivilrechtlicher Rahmen. Mangels eines spezifischen Beschäftigtendatenschutzgesetzes (wie § 26 BDSG in Deutschland) leiten sich die Anforderungen direkt aus der DSGVO ab — mit entsprechend höheren Dokumentationspflichten. Aufsichtsbehörde: Datenschutzbehörde (DSB), Finanzmarktaufsicht (FMA) für regulierte Branchen.

EU-weit — DSGVO + neue Rechtsakte

Zusätzlich zur DSGVO erweitern neue Rechtsakte die Anforderungen: EBA-ESMA Joint Guidelines on Suitability 2024 (Fit-and-Proper EU-weit), CRD VI (Capital Requirements Directive, ab 2026), AMLR (Anti-Money-Laundering Regulation, ab 2027) und die neue AMLA (Frankfurt). Für Unternehmen mit EU-weiter Tätigkeit heißt das: einheitliche Standards, aber höhere Anforderungen an Monitoring und Dokumentation.

Wann ist ein Background Check verpflichtend?

In bestimmten Branchen ist der Check gesetzlich vorgeschrieben:

Finanzsektor: Geschäftsführer und Aufsichtsräte müssen die BaFin Fit-and-Proper-Prüfung nach § 25c KWG bestehen
Geldwäsche-Beauftragte: Zuverlässigkeitsprüfung nach § 7 GwG
Versicherungen: Compliance-Funktionen nach § 24 VAG
Pädagogische Berufe: Erweitertes Führungszeugnis nach § 72a SGB VIII
KRITIS-Betreiber: Zuverlässigkeitsprüfung für sicherheitsrelevante Positionen

Praxis: So läuft ein DSGVO-konformer Check ab

Einwilligung einholen: Der Kandidat erhält eine Erklärung, welche Daten zu welchem Zweck geprüft werden
Dokumentieren: Die Einwilligung muss freiwillig, informiert, spezifisch und nachweisbar sein
Prüfen: Nur die Prüfungen durchführen, die für die konkrete Rolle erforderlich sind
Speichern: Ergebnisse nach Zweckerfüllung löschen — in der Regel 6 Monate (abgelehnte Bewerber) oder bis Ende Beschäftigungsverhältnis plus Verjährungsfristen (eingestellte)
Audit-Trail: Jeder Schritt muss revisionssicher dokumentiert sein

Was kostet ein Background Check?

Manuelle Prüfungen durch Detekteien kosten 450–1.200 € pro Kandidat und dauern 5–10 Werktage. Automatisierte Plattformen liefern vergleichbare Ergebnisse in Minuten.

Was kostet eine Fehlbesetzung?

Laut Kienbaum Management Consultants belaufen sich die Gesamtkosten einer Fehlbesetzung im Führungsbereich auf das 1,5- bis 3-fache des Jahresgehalts. Bei einem Jahresgehalt von 150.000 € bedeutet das bis zu 450.000 € Schaden.

Fazit

Background Checks sind in Deutschland rechtssicher möglich — wenn die Rechtsgrundlage stimmt, die Einwilligung dokumentiert ist und die Prüfung der Rolle angemessen. Die häufigsten Fehler: keine dokumentierte Einwilligung, Prüfungen ohne Stellenbezug, zu lange Speicherung.

Wenn Du einen strukturierten, DSGVO-konformen Prozess aufbauen willst: Indicium automatisiert genau das — inklusive Einwilligungs-Workflow, Audit-Trail und revisionssicherer Dokumentation.

Nabil El Berr