Der Compliance-Kompass: Dein Guide für rechtssichere Pre-Employment Checks
In einer globalisierten Wirtschaft ist Vertrauen gut, Validierung besser. Aber du kennst das Dilemma deutscher Arbeitgeber: Einerseits willst du die Integrität neuer Mitarbeiter sicherstellen (Duty of Care), um dein Unternehmen vor Betrug und Reputationsschäden zu schützen. Andererseits geben dir die DSGVO und das deutsche Arbeitsrecht einen der strengsten Rahmen der Welt vor.
Fühlst du dich in diesem Spannungsfeld manchmal gelähmt? Die Angst vor Bußgeldern oder schlechter Presse führt oft dazu, dass notwendige Prüfungen gar nicht stattfinden – oder, noch riskanter, dass „heimlich“ gegoogelt wird. Beides ist keine Strategie für professionelles Risikomanagement.
Dieser Leitfaden ist dein Navigationsinstrument. Wir übersetzen die komplexe Rechtslage für dich in eine klare Handlungsanleitung. Denn Datenschutz ist kein Verbotsschild, sondern ein Qualitätsrahmen. Wenn du die Regeln kennst, wird Compliance vom Bremsklotz zum Wettbewerbsvorteil.
Das Fundament: Erforderlichkeit statt Einwilligung
Um zu verstehen, was erlaubt ist, musst du dich von einem Gedanken verabschieden: Dass eine Unterschrift des Bewerbers („Consent Form“) alle Türen öffnet. Im Arbeitsrecht sind diese Einwilligungen oft wertlos. Warum? Weil Gerichte davon ausgehen, dass der Bewerber den Job will und daher in einer Zwangslage handelt – die rechtlich nötige „Freiwilligkeit“ fehlt oft.
Der wahre Enabler für deine Checks ist § 26 Abs. 1 BDSG.
Diese Norm erlaubt dir die Datenverarbeitung, wenn sie für die Entscheidung über das Beschäftigungsverhältnis erforderlich ist.
Das Zauberwort heißt Relevanz.
Ist es für einen Kassierer relevant, ob er wegen Diebstahls vorbestraft ist? Ja. (Schutz des Vermögens).
Ist es für einen Lageristen relevant, wie seine Bonität aussieht? Nein. (Kein Zusammenhang zur Tätigkeit).
Ein moderner Background Check ist kein „Schleppnetz“, sondern ein Präzisionsinstrument, das nur jobrelevante Risiken prüft.
Die Module im Praxis-Check: Was darfst du?
Basierend auf der aktuellen Praxis der Aufsichtsbehörden kannst du die Prüfbereiche klar kategorisieren:
A. Education & Employment (Der „Resume Fraud“)
Lebensläufe werden zunehmend „optimiert“. Da die fachliche Eignung das Kernkriterium ist, deckt § 26 BDSG die Validierung voll ab.
Dein Vorgehen: Du darfst Originaldokumente anfordern und prüfen.
Profi-Tipp: Nutze für ausländische Abschlüsse die Datenbank „anabin“. Da hier nur der Status der Institution geprüft wird, ist das datenschutzrechtlich unbedenklich.
Achtung: Ruf nicht ohne Wissen des Bewerbers bei der Uni an. Hol dir hierfür eine explizite Freigabe.
B. Führungszeugnisse (Criminal Record)
Was in den USA Standard ist, ist hier die Ausnahme. Du hast keinen direkten Zugriff auf das Bundeszentralregister.
Wann zulässig? Nur bei direkter Relevanz (z.B. Arbeit mit Minderjährigen, Geldtransport, Bewachung, sensible Infrastruktur).
Wichtig: Speichere niemals eine Kopie dauerhaft in der Personalakte (Verstoß gegen Art. 10 DSGVO).
Best Practice: Mach einen Vermerk: „Führungszeugnis vom [Datum] lag vor. Keine relevanten Eintragungen.“ Das genügt der Nachweispflicht.
C. Financial Integrity (Bonität & Insolvenz)
Finanzen sind Privatsache. Schulden sagen nichts über Arbeitsmoral aus.
Die Ausnahme: Positionen mit erheblicher finanzieller Verantwortung (CFO, Prokura). Hier überwiegt dein berechtigtes Interesse, Schäden abzuwenden.
Der Prozess: Fordere eine Selbstauskunft an und erlaube dem Kandidaten, irrelevante Daten (z.B. Handyverträge) zu schwärzen.
D. Social Media & Internet (Die Trennung der Sphären)
Darfst du Bewerber „googeln“? Die Antwort ist ein klares „Jein“. Unterscheide strikt:
Berufsorientierte Netzwerke (LinkedIn, Xing): Hier darfst du recherchieren (§ 26 BDSG), da die Daten zur professionellen Darstellung dienen.
Freizeitorientierte Netzwerke (Facebook, Insta, TikTok): Hier herrscht Erwartung auf Privatheit. Screening ist unzulässig. Freundschaftsanfragen durch HR sind tabu.
Die Compliance-Falle (Art. 14 DSGVO):
Wenn du Daten aus dem Internet nutzt, musst du den Bewerber darüber informieren. Wer heimlich googelt und die Info nutzt, begeht einen Verstoß.
Lösung: Nimm einen Passus in deine Datenschutzhinweise auf, dass „berufsbezogene öffentliche Quellen“ geprüft werden.
E. Sanktionslisten
Du darfst keine Gelder an Personen auf EU-Terrorlisten zahlen. Ein Abgleich gegen EU-Sanktionslisten wird mittlerweile als berechtigtes Interesse anerkannt.
Prozess-Hygiene: Löschfristen & Dokumentation
Rechtssicherheit entsteht nicht nur durch das „Was“, sondern vor allem durch das „Wie“.
Dokumentation ohne Diskriminierung: Falls ein abgelehnter Bewerber klagt (AGG) oder Auskunft verlangt, müssen deine Akten sauber sein. Vermeide subjektive Notizen („wirkt alt“, „plant wohl Familie“). Dokumentiere nur Fakten („Qualifikation nicht verifiziert“).
Löschfristen: Daten von abgelehnten Bewerbern darfst du nicht ewig speichern. Regelfrist: 3 bis 6 Monate nach Absage.
Talent Pool: Willst du Kandidaten länger speichern (z.B. 12-24 Monate), brauchst du zwingend eine separate, freiwillige Einwilligung.
Wie Indicium dir Sicherheit gibt (Der „Clean Room“)
Viele schrecken vor Checks zurück, weil sie Fehler fürchten. Manuelle Recherche birgt das Risiko, dass du versehentlich geschützte Daten siehst (z.B. ein Foto, das auf Schwangerschaft oder Religion hindeutet). Einmal gesehen, kannst du dieses Wissen nicht „unsehen“ – du bist angreifbar.
Hier agiert Indicium als dein strategischer „Clean Room“:
Filter-Funktion: Die Software prüft Quellen, filtert aber rechtlich kritische Infos heraus. Du siehst nur das bereinigte Ergebnis (z.B. „Abschluss verifiziert“).
Automatisierte Erforderlichkeit: Das System erlaubt nur Checks, die für die jeweilige Job-Kategorie vorab konfiguriert wurden.
Transparenz-Garantie: Die Informationspflichten gegenüber dem Kandidaten werden automatisch übernommen.
Checkliste für die Praxis (Zulässigkeits-Matrix)
Druck dir diese Übersicht aus, um im Alltag sicher zu navigieren:
Art der Prüfung | Rechtsgrundlage | Zulässigkeit & Bedingung | Deine Praxis-Empfehlung |
Lebenslauf | § 26 BDSG | ✅ Hoch. Basis jeder Einstellung. | Standardprozess einführen. |
Original-Zeugnisse | § 26 BDSG | ✅ Hoch. Vorlage durch Bewerber. | Auf Echtheit prüfen (lassen). |
Referenzen (Ex-AG) | Einwilligung | ⚠️ Mittel. Nur mit expliziter Einwilligung. | Frage: „Wen dürfen wir kontaktieren?“ |
LinkedIn / Xing | § 26 BDSG | ✅ Hoch. Berufskontext. | Zulässig, aber Informationspflicht beachten. |
Instagram / FB | - | ⛔ Unzulässig. Privatsphäre. | Finger weg. Keine Friend-Requests. |
Führungszeugnis | § 26 BDSG | 🟡 Bedingt. Nur bei Relevanz. | Nur Einsichtnahme, keine Kopie speichern. |
Bonität | § 26 BDSG | 🟡 Bedingt. Nur bei Finanz-Risiko. | Selbstauskunft durch Bewerber anfordern. |
Sanktionslisten (EU) | Art. 6f DSGVO | ✅ Hoch. Compliance-Interesse. | In Datenschutzhinweise aufnehmen. |
Fazit: Mut zur Professionalität
Ein sauberer Pre-Employment Check ist kein bürokratisches Monster. Er ist Ausdruck deines professionellen Managements. Indem du Validierungsprozesse standardisierst, schützt du dein Unternehmen vor Schäden und dein HR-Team vor rechtlichen Fehltritten. Gleichzeitig signalisierst du Bewerbern: „Wir arbeiten fair, transparent und sicher.“
Nutze die Möglichkeiten der DSGVO, anstatt sie zu fürchten.
Möchtest du deine Prozesse auditieren?
Lass uns gemeinsam schauen, welches Prüf-Level für deine offenen Positionen erforderlich und zulässig ist.
Disclaimer: Dieser Leitfaden dient der allgemeinen Information und Orientierung auf Basis der aktuellen Rechtslage. Er ersetzt keine individuelle Rechtsberatung durch einen Anwalt oder Datenschutzbeauftragten.
”Die rechtlichen Anforderungen an Arbeitgeber in Europa sind hoch, genau deswegen braucht es eine Software die sich dieser Probleme annimmt. "
Nabil el Berr, CEO
