Background Checks werden in Europa immer wichtiger. Gleichzeitig ist die Unsicherheit groß: Was darf ich prüfen? Was nicht? Und wie stelle ich sicher, dass der Prozess DSGVO-konform ist?
Viele Unternehmen stehen vor einem Dilemma. Sie wollen neue Mitarbeitende sorgfältig prüfen — haben aber Angst, gegen den Datenschutz zu verstoßen. Das Ergebnis: Sie prüfen gar nicht. Oder sie prüfen, ohne zu wissen, ob ihr Vorgehen rechtlich haltbar ist.
Beides ist riskant. Dieser Leitfaden gibt Dir als HR-Verantwortlichem oder Compliance Officer einen klaren Überblick über die rechtlichen Grundlagen — ohne Juristendeutsch. Du erfährst, welche Prüfungen erlaubt sind, wie Du die Einwilligung richtig einholst, welche Löschfristen gelten und wo sich Deutschland und die Schweiz unterscheiden.
Warum DSGVO und Background Checks zusammenpassen müssen
Ein Background Check verarbeitet personenbezogene Daten. Namen, Geburtsdaten, Qualifikationen, Beschäftigungshistorien, manchmal auch Finanzauskünfte oder Einträge in Sanktionslisten. Damit greift die DSGVO — ohne Ausnahme.
Trotzdem verzichten viele Unternehmen in der DACH-Region auf systematische Überprüfungen. Der Grund: Unsicherheit. Darf ich das überhaupt? Was passiert, wenn ich einen Fehler mache? Drohen Bußgelder?
Diese Angst ist verständlich. Aber sie führt zum falschen Ergebnis. Denn ein Unternehmen, das auf Background Checks verzichtet, nimmt Risiken in Kauf, die weitaus teurer werden können als ein Datenschutzverstoß: gefälschte Lebensläufe, Compliance-Verstöße, Reputationsschäden.
Ein DSGVO-konformer Background Check ist nicht nur möglich — er ist der einzige Background Check, der Dein Unternehmen wirklich schützt.
Die DSGVO verbietet keine Personalüberprüfungen. Sie gibt Dir einen Rahmen. Wer diesen Rahmen kennt und einhält, kann Bewerber rechtssicher prüfen — und gleichzeitig Vertrauen bei Kandidaten aufbauen.
Die Rechtsgrundlagen im Überblick
Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage. Bei Background Checks kommen vier Grundlagen in Frage. Welche Du nutzt, hängt von der Art der Prüfung und dem Kontext ab.
Art. 6 Abs. 1b DSGVO: Vertragsanbahnung
Das ist der häufigste Rechtsgrund für Pre-Employment Checks. Wenn ein Bewerber sich auf eine Stelle bewirbt, bahnt er ein Vertragsverhältnis an. Der Arbeitgeber darf die Angaben prüfen, die für die Stelle relevant sind. Eine Identitätsprüfung, die Verifizierung von Abschlüssen oder die Bestätigung früherer Beschäftigungsverhältnisse — all das fällt unter Vertragsanbahnung.
Art. 6 Abs. 1f DSGVO: Berechtigtes Interesse
Für bestimmte Risikoprüfungen kann das berechtigte Interesse als Rechtsgrundlage dienen. Das gilt besonders bei Positionen mit erhöhtem Risikoprofil: Führungskräfte, Mitarbeitende mit Zugang zu sensiblen Daten oder finanziellen Ressourcen. Hier muss eine Interessenabwägung stattfinden — Dein Interesse an der Prüfung gegen das Persönlichkeitsrecht des Bewerbers.
Art. 6 Abs. 1a DSGVO: Einwilligung
Die Einwilligung ist keine zwingende Voraussetzung, wenn bereits eine andere Rechtsgrundlage greift. Sie bietet aber eine zusätzliche Absicherung. Gerade bei Prüfungen, die über das Minimum hinausgehen — etwa ein erweiterter Sanktionslisten-Abgleich oder ein PEP-Screening — schafft eine dokumentierte Einwilligung Klarheit für beide Seiten.
§ 26 BDSG: Die deutsche Spezialregelung
In Deutschland gilt neben der DSGVO das Bundesdatenschutzgesetz. § 26 BDSG regelt die Verarbeitung von Beschäftigtendaten. Er erlaubt die Datenverarbeitung, wenn sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist. Das ist die zentrale Norm für Pre-Employment Checks in Deutschland.
nDSG: Das neue Schweizer Datenschutzgesetz
Seit September 2023 gilt in der Schweiz das revidierte Datenschutzgesetz (nDSG). Es orientiert sich an der DSGVO, hat aber eigene Besonderheiten. Anders als die DSGVO kennt das nDSG kein generelles Verarbeitungsverbot mit Erlaubnisvorbehalt. Stattdessen ist die Datenverarbeitung grundsätzlich erlaubt, solange die Datenschutzgrundsätze eingehalten werden und keine Persönlichkeitsrechte verletzt werden.
In der Praxis empfehlen wir die Kombination aus Vertragsanbahnung und freiwilliger Einwilligung. Das gibt Dir die stärkste rechtliche Basis.
Was darfst Du prüfen — und was nicht?
Nicht jede Überprüfung ist für jede Stelle angemessen. Die DSGVO verlangt Datenminimierung: Nur das prüfen, was für die konkrete Position erforderlich ist. Hier eine Übersicht.
Erlaubt (mit entsprechender Rechtsgrundlage)
Identitätsverifizierung — Stimmen Name, Geburtsdatum und Adresse? Das ist die Basis jeder Überprüfung.
Qualifikations- und Abschlussprüfung — Hat der Bewerber den Abschluss, den er angibt? Studien zeigen, dass bis zu 30 % aller Lebensläufe Übertreibungen oder Falschangaben enthalten.
Beschäftigungshistorie — Waren die angegebenen Arbeitgeber und Zeiträume korrekt?
Sanktionslisten-Abgleich — Bei regulierten Branchen ist das keine Option, sondern Pflicht. EU-, UN- und OFAC-Listen müssen geprüft werden. Mehr dazu in unserem Artikel zur Sanktionslistenprüfung.
PEP-Screening — Ist die Person politisch exponiert? Für Finanzdienstleister und andere regulierte Branchen ein Muss.
Öffentlich zugängliche berufliche Profile — LinkedIn und ähnliche Plattformen dürfen eingesehen werden, solange es um berufliche Informationen geht.
Bedingt erlaubt (nur bei entsprechender Stelle)
Bonitätsprüfung — Nur bei Positionen mit finanzieller Verantwortung. Eine Bonitätsauskunft für eine Stelle im Marketing wäre unverhältnismäßig.
Führungszeugnis — Nur bei bestimmten Berufen, etwa im Bildungsbereich, in der Pflege oder bei sicherheitsrelevanten Positionen. Es muss einen sachlichen Bezug zur Tätigkeit geben.
Nicht erlaubt
Private Social-Media-Profile durchsuchen — Facebook, Instagram und private Accounts sind tabu. Sie gehören zum Persönlichkeitsrecht.
Gesundheitsdaten erheben — Außer in klar definierten Ausnahmefällen (z. B. Eignungsuntersuchung bei körperlich anspruchsvollen Berufen) sind Gesundheitsdaten besonders geschützt nach Art. 9 DSGVO.
Familienstand, Schwangerschaft, Religion — Diese Daten haben keinen Bezug zur beruflichen Eignung und dürfen nicht erhoben werden.
Scoring oder Profiling ohne Transparenz — Automatisierte Entscheidungsfindung ist nach Art. 22 DSGVO nur unter engen Voraussetzungen erlaubt. Der Bewerber muss informiert werden.
Die Faustregel: Prüfe nur das, was Du auch im Bewerbungsgespräch fragen dürftest. Wenn die Frage dort unzulässig wäre, ist sie es auch im Background Check.
Einwilligung richtig gestalten
Selbst wenn eine andere Rechtsgrundlage greift, empfehlen wir eine zusätzliche Einwilligung. Sie dokumentiert, dass der Bewerber informiert war und zugestimmt hat. Aber: Eine Einwilligung ist nur dann gültig, wenn sie bestimmte Anforderungen erfüllt.
Anforderungen an eine wirksame Einwilligung
Freiwilligkeit — Es darf kein Druck entstehen. Formulierungen wie „Ohne Einwilligung können wir Ihre Bewerbung nicht berücksichtigen“ machen die Einwilligung unwirksam. Der Bewerber muss eine echte Wahl haben.
Informiertheit — Der Bewerber muss wissen: Was genau wird geprüft? Wer führt die Prüfung durch? Welche Daten werden erhoben? Wie lange werden sie gespeichert?
Widerrufbarkeit — Die Einwilligung muss jederzeit widerrufbar sein. Der Widerruf muss genauso einfach sein wie die Erteilung.
Schriftform — Die DSGVO verlangt keine Schriftform, empfiehlt sie aber. Für den Nachweis ist eine dokumentierte Einwilligung — ob digital oder auf Papier — unverzichtbar.
Indicium bietet ein integriertes Einwilligungsmanagement. Der Kandidat erhält einen transparenten Link, sieht genau, welche Prüfungen durchgeführt werden, und stimmt digital zu. Alles wird protokolliert und ist jederzeit nachvollziehbar. Mehr dazu auf unserer Produktseite.
Datenspeicherung und Löschfristen
Die DSGVO kennt ein klares Prinzip: Daten nur so lange speichern wie nötig. Für Background Checks bedeutet das konkret:
Empfohlene Löschfristen
Bewerber nicht eingestellt: Daten nach der Absage löschen. Die Praxis zeigt: Sechs Monate Aufbewahrungsfrist sind vertretbar, um sich gegen mögliche AGG-Klagen (Allgemeines Gleichbehandlungsgesetz) abzusichern. Danach: löschen.
Bewerber eingestellt: Check-Ergebnisse dürfen für die Dauer des Arbeitsverhältnisses gespeichert werden, zuzüglich der gesetzlichen Aufbewahrungsfristen nach Vertragsende.
Regulierte Branchen: Hier gelten abweichende Fristen. Die BaFin verlangt beispielsweise eine Aufbewahrung von bis zu zehn Jahren für bestimmte Eignungsprüfungen. Das ergibt sich aus den MaRisk-Anforderungen und sektorspezifischen Regelungen.
Automatische Löschung als Best Practice
Manuelle Löschprozesse sind fehleranfällig. Dateien werden vergessen, Fristen überschritten, Verantwortlichkeiten sind unklar. Die beste Lösung: automatische Löschregeln, die Du einmal konfigurierst.
Bei Indicium kannst Du automatische Löschfristen konfigurieren. Kein manuelles Nachhalten, keine vergessenen Dateien. Wenn die Frist abläuft, werden die Daten gelöscht — automatisch und dokumentiert.
Deutschland vs. Schweiz: Die wichtigsten Unterschiede
Für Unternehmen, die in beiden Ländern tätig sind, ist der Vergleich zwischen deutschem und Schweizer Datenschutzrecht besonders relevant. Hier die wesentlichen Unterschiede:
Aspekt | Deutschland (DSGVO + BDSG) | Schweiz (nDSG) |
|---|---|---|
Rechtsgrundlage | Art. 6 DSGVO, § 26 BDSG | Art. 6 nDSG, Grundsätze-basiert |
Einwilligung | Freiwillig, informiert, widerrufbar | Grundsätzlich ähnlich, weniger formalistisch |
Betriebsrat | Mitbestimmung bei Überwachungsmaßnahmen (§ 87 BetrVG) | Kein vergleichbares Betriebsrat-System |
Aufsichtsbehörde | Landesdatenschutzbehörden (16 Stück) | EDÖB (eine zentrale Behörde) |
Bußgelder | Bis 4 % des weltweiten Jahresumsatzes | Bis CHF 250.000 (gegen Einzelpersonen!) |
Datentransfer | Strenge Regeln für Drittland-Transfers | Eigene Länderliste des Bundesrats |
Die auffälligste Besonderheit in der Schweiz: Bußgelder richten sich nicht nur gegen das Unternehmen, sondern gegen die verantwortliche Einzelperson. Ein Datenschutzverstoß kann also den Compliance Officer oder die Geschäftsführung persönlich treffen — mit bis zu CHF 250.000 Strafe. Das ändert die Risikobetrachtung grundlegend.
In Deutschland kommt dafür der Betriebsrat ins Spiel. Wenn Du Background Checks einführst, musst Du den Betriebsrat einbeziehen. Das betrifft insbesondere die Gestaltung des Verfahrens, die Auswahl der Prüfkriterien und die technische Umsetzung. Plane das frühzeitig ein — ein nachträgliches Einbeziehen des Betriebsrats führt zu Verzögerungen.
Die 5 häufigsten DSGVO-Fehler bei Background Checks
Aus unserer Arbeit mit Unternehmen in der DACH-Region sehen wir immer wieder dieselben Fehler. Fünf davon fallen besonders häufig auf.
Checks ohne Rechtsgrundlage durchführen. Manche Unternehmen prüfen Bewerber „nebenbei“ — eine Google-Suche hier, ein Social-Media-Check dort. Ohne dokumentierte Rechtsgrundlage ist das ein Datenschutzverstoß.
Mehr prüfen als für die Stelle erforderlich. Die Bonitätsauskunft für eine Assistenz-Stelle, das Führungszeugnis für einen Marketing-Manager — wer über das Ziel hinausschießt, verstößt gegen den Grundsatz der Datenminimierung.
Einwilligung nicht dokumentieren. Selbst wenn der Bewerber mündlich zugestimmt hat: Ohne Dokumentation kannst Du im Streitfall nichts belegen. Und die Beweislast liegt bei Dir.
Daten nach Absage nicht löschen. Bewerberdaten, die nach einer Absage monatelang oder sogar jahrelang gespeichert bleiben, sind ein häufiger Befund bei Datenschutzprüfungen. Nach sechs Monaten solltest Du löschen.
US-Anbieter nutzen ohne Prüfung der Datentransfer-Grundlage. Das ist der Fehler, den wir am häufigsten sehen. Viele Unternehmen nutzen US-basierte Screening-Tools, ohne zu prüfen, ob der transatlantische Datentransfer DSGVO-konform abgesichert ist. Seit dem Schrems-II-Urteil reicht ein einfacher Verweis auf das EU-US Data Privacy Framework nicht immer aus. Du musst dokumentieren können, warum der Datentransfer rechtmäßig ist.
Fehler Nr. 5 ist besonders tückisch. US-Anbieter haben oft jahrelange Erfahrung im Screening — aber ihre Infrastruktur und Datenverarbeitung sind nicht für den europäischen Rechtsrahmen gebaut.
Wie Indicium DSGVO-Konformität sicherstellt
Bei Indicium ist Datenschutz keine Nachbesserung. Er ist in die Plattform eingebaut — von Anfang an. Wir sprechen hier von DSGVO-by-Design nach Art. 25 DSGVO. Das bedeutet konkret:
Daten in EU-Rechenzentren. Alle Daten werden in der Europäischen Union verarbeitet und gespeichert. Kein US-Cloud-Provider, kein Drittlandtransfer.
Integriertes Einwilligungsmanagement. Kandidaten erhalten einen transparenten Link. Sie sehen, was geprüft wird, und stimmen digital zu. Alles wird protokolliert.
Automatische Löschfristen. Du konfigurierst einmal, wie lange Daten gespeichert werden. Danach greift die automatische Löschung — vollständig und dokumentiert.
Vollständiger Audit-Trail. Wer hat wann welche Prüfung angestoßen? Wer hat die Ergebnisse eingesehen? Jede Aktion wird protokolliert. Das ist entscheidend für Deine Dokumentationspflichten.
AVV als Standard. Jeder Indicium-Kunde erhält einen Auftragsverarbeitungsvertrag. Keine Extra-Anfrage, kein Warten auf die Rechtsabteilung.
SOC 2 Type II zertifiziert. Unsere Sicherheitsmaßnahmen werden regelmäßig von unabhängigen Prüfern verifiziert.
Warum ist das wichtig? Weil Du als Arbeitgeber für die DSGVO-Konformität Deiner Dienstleister mithaftest. Art. 28 DSGVO verlangt, dass Du nur Auftragsverarbeiter einsetzt, die hinreichende Garantien bieten. Mit Indicium hast Du diese Garantie.
Checkliste: DSGVO-konformer Background Check in 7 Schritten
Zum Abschluss eine Checkliste, die Du direkt nutzen kannst. Druck sie aus, speichere sie ab, leite sie an Dein Team weiter.
Rechtsgrundlage festlegen. Prüfe vor jedem Check: Welche Rechtsgrundlage greift? Vertragsanbahnung, berechtigtes Interesse oder Einwilligung?
Prüfumfang an die Stelle anpassen. Nur prüfen, was für die konkrete Position relevant ist. Keine Pauschalprüfungen.
Einwilligung einholen und dokumentieren. Informiere den Bewerber vollständig. Dokumentiere die Einwilligung. Stelle sicher, dass sie freiwillig und widerrufbar ist.
Einen DSGVO-konformen Anbieter wählen. EU-Datenverarbeitung, AVV, Audit-Trail — das sind die Mindestanforderungen an Deinen Screening-Partner.
Löschfristen definieren. Lege fest, wie lange Ergebnisse gespeichert werden. Richte automatische Löschregeln ein.
Betriebsrat einbeziehen (Deutschland). Informiere den Betriebsrat frühzeitig über das Verfahren. Hole die Zustimmung ein.
Dokumentation pflegen. Halte alles fest: Rechtsgrundlage, Einwilligung, Prüfumfang, Ergebnisse, Löschung. Im Zweifelsfall musst Du nachweisen können, dass Du korrekt gehandelt hast.
Fazit: Datenschutz und Sorgfaltspflicht schließen sich nicht aus
Die DSGVO ist kein Hindernis für Background Checks. Sie ist ein Qualitätsmerkmal. Ein Unternehmen, das seine Screening-Prozesse DSGVO-konform gestaltet, zeigt Bewerbern und Aufsichtsbehörden gleichermaßen: Wir nehmen Datenschutz ernst. Und wir nehmen unsere Sorgfaltspflicht ernst.
Der Schlüssel liegt in der Vorbereitung. Wer die Rechtsgrundlagen kennt, den Prüfumfang anpasst, die Einwilligung sauber einholt und einen europäischen Anbieter nutzt, ist auf der sicheren Seite.
Du willst sehen, wie ein DSGVO-konformer Background Check in der Praxis aussieht? Buche eine Demo und wir zeigen Dir, wie Indicium Datenschutz und Personalüberprüfung zusammenbringt — mit Einwilligungsmanagement, automatischen Löschfristen und vollständigem Audit-Trail.
Weiterführende Artikel:
Was ist ein Background Check? Der vollständige Guide
Sanktionslistenprüfung für Unternehmen
PEP-Screening: Politisch exponierte Personen
LkSG und Background Checks
Dieser Artikel dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Für die rechtliche Bewertung Deines konkreten Anwendungsfalls empfehlen wir die Konsultation eines spezialisierten Anwalts für Datenschutzrecht.
Häufig gestellte Fragen
Dürfen Arbeitgeber in Deutschland Background Checks durchführen?
Ja, Arbeitgeber dürfen Background Checks durchführen — allerdings nur unter Einhaltung der DSGVO und des Bundesdatenschutzgesetzes (§ 26 BDSG). Die Rechtsgrundlage ist in der Regel die Vertragsanbahnung (Art. 6 Abs. 1b DSGVO) oder das berechtigte Interesse (Art. 6 Abs. 1f DSGVO). Entscheidend ist das Prinzip der Datenminimierung: Nur Prüfungen, die für die konkrete Stelle relevant sind, sind zulässig. Eine Identitätsverifizierung und Qualifikationsprüfung ist bei jeder Stelle vertretbar, eine Bonitätsprüfung hingegen nur bei Positionen mit finanzieller Verantwortung.
Brauche ich für einen Background Check die Einwilligung des Bewerbers?
Eine Einwilligung ist nicht in jedem Fall zwingend erforderlich — wenn bereits eine andere Rechtsgrundlage greift (z. B. Vertragsanbahnung), kann der Check auch ohne ausdrückliche Einwilligung durchgeführt werden. In der Praxis empfiehlt sich aber immer eine zusätzliche dokumentierte Einwilligung, da sie Transparenz schafft und im Streitfall als Nachweis dient. Die Einwilligung muss freiwillig, informiert und widerrufbar sein. Formulierungen, die Druck ausüben („Ohne Einwilligung können wir Ihre Bewerbung nicht berücksichtigen“), machen sie unwirksam.
Wie lange dürfen Background-Check-Ergebnisse gespeichert werden?
Die DSGVO verlangt Speicherminimierung: Daten dürfen nur so lange aufbewahrt werden, wie es einen legitimen Zweck gibt. Bei abgelehnten Bewerbern empfiehlt sich eine Löschfrist von maximal sechs Monaten (Schutz gegen AGG-Klagen). Bei eingestellten Mitarbeitenden dürfen die Ergebnisse für die Dauer des Arbeitsverhältnisses gespeichert werden. In regulierten Branchen gelten längere Aufbewahrungsfristen — die BaFin fordert bis zu zehn Jahre für bestimmte Eignungsprüfungen gemäß MaRisk.
Was ist der Unterschied zwischen DSGVO und dem Schweizer Datenschutzgesetz (nDSG)?
Der größte Unterschied: Das nDSG kennt kein generelles Verarbeitungsverbot mit Erlaubnisvorbehalt wie die DSGVO. In der Schweiz ist Datenverarbeitung grundsätzlich erlaubt, solange die Datenschutzgrundsätze eingehalten werden. Bei Bußgeldern trifft das nDSG die verantwortliche Einzelperson (bis CHF 250.000), während die DSGVO Unternehmen mit bis zu 4 % des weltweiten Jahresumsatzes belegt. In Deutschland kommt zusätzlich die Betriebsratsmitbestimmung hinzu (§ 87 BetrVG), die es in der Schweiz nicht gibt. Indicium ist für beide Rechtsordnungen konzipiert und erfüllt sowohl DSGVO- als auch nDSG-Anforderungen.
Warum sollte ich keinen US-Anbieter für Background Checks nutzen?
US-basierte Screening-Anbieter verarbeiten personenbezogene Daten häufig auf Servern in den USA. Seit dem Schrems-II-Urteil des EuGH ist der transatlantische Datentransfer rechtlich problematisch. Das EU-US Data Privacy Framework bietet zwar eine neue Grundlage, doch Datenschutzexperten bezweifeln dessen langfristige Beständigkeit. Europäische Anbieter wie Indicium verarbeiten alle Daten in EU-Rechenzentren, bieten standardmäßig einen Auftragsverarbeitungsvertrag (AVV) an und sind von Grund auf für den europäischen Rechtsrahmen konzipiert — ohne Umwege über US-Cloud-Infrastruktur.
Nächste Schritte
DSGVO-konforme Background Checks sind kein Widerspruch — mit der richtigen Plattform sind sie Standard. Indicium bietet integriertes Einwilligungsmanagement, automatische Löschfristen und vollständigen Audit-Trail.
Jetzt kostenlose Demo buchen →
Weiterlesen
Background Check: Was ist es und was ist erlaubt?
Manuelle vs. automatisierte Background Checks: Kosten und ROI
