Social-Media-Screening von Bewerbern: Was ist rechtlich erlaubt?

Social-Media-Profile enthalten oft mehr über Kandidaten als der Lebenslauf. Aber Arbeitgeber dürfen sie nicht einfach durchleuchten. Dieser Leitfaden zeigt, was in Deutschland rechtlich erlaubt ist — und was Bußgelder nach sich ziehen kann.

Die rechtliche Grundlage

Relevante Normen:

• § 26 BDSG (Beschäftigtendatenschutz)

• Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung)

• Art. 9 DSGVO (besondere Kategorien personenbezogener Daten)

• AGG (Allgemeines Gleichbehandlungsgesetz)

• Rechtsprechung des Bundesarbeitsgerichts (insbesondere BAG 8 AZR 1007/08)

Was ist erlaubt?

1. Berufliche Netzwerke (LinkedIn, Xing)

Grundsätzlich erlaubt, da diese Profile bewusst zum beruflichen Austausch angelegt werden und öffentlich zugänglich sind. Der Bewerber stellt sie genau mit dem Zweck online, von potenziellen Arbeitgebern gesehen zu werden.

Was Arbeitgeber prüfen dürfen:

• Beruflicher Werdegang (Plausibilität mit Lebenslauf)

• Qualifikationen und Abschlüsse

• Veröffentlichungen, Publikationen, Beiträge

• Netzwerk im beruflichen Kontext

Einschränkung: Keine Informationen verwenden, die unter AGG fallen (Alter, Religion, sexuelle Orientierung, Behinderung etc.).

2. Öffentliche Profile auf sozialen Netzwerken (Facebook, Instagram, X)

Nur mit berechtigtem Interesse und wenn die Inhalte klar beruflich relevant sind.

Beispiele, bei denen es erlaubt sein kann:

• Kandidat bewirbt sich als Social-Media-Manager → öffentliche Social-Media-Präsenz ist berufsrelevant

• Kandidat postet öffentlich diskriminierende Inhalte → kann Arbeitsverhältnis gefährden

• Öffentliche Präsenz als Journalist, Politiker, Public Figure

Nicht erlaubt:

• Bewerber „durchleuchten" auf Lifestyle, Religion, Beziehungen

• Fotos bewerten, die nicht beruflich relevant sind

• Private Inhalte, die nur Freunde sehen können, umgehen

Was ist nicht erlaubt?

1. Umgehung von Privatsphäre-Einstellungen

Wer Fake-Accounts nutzt, um auf geschlossene Profile zuzugreifen, verstößt gegen § 202a StGB (Ausspähen von Daten). Strafbar.

2. Sensitive Daten verarbeiten

Art. 9 DSGVO verbietet die Verarbeitung besonderer Kategorien personenbezogener Daten ohne Einwilligung:

• Religion

• Politische Meinung

• Sexuelle Orientierung

• Gewerkschaftszugehörigkeit

• Gesundheitsdaten

• Ethnische Herkunft

Wer solche Daten aus öffentlichen Profilen extrahiert und im Bewerbungsprozess nutzt, verstößt gegen DSGVO.

3. AGG-Merkmale

Das AGG verbietet Diskriminierung aufgrund von:

• Alter

• Geschlecht

• Behinderung

• Religion / Weltanschauung

• Sexueller Identität

• Rassismus / ethnischer Herkunft

Wer Bewerber wegen solcher Merkmale ablehnt, die er aus Social Media erfahren hat, riskiert AGG-Klagen.

4. Dauerhafte Überwachung nach Einstellung

§ 26 BDSG erlaubt nur Prüfungen, die für die Begründung und Durchführung des Beschäftigungsverhältnisses erforderlich sind. Eine dauerhafte Überwachung der Social-Media-Aktivität von Mitarbeitern ist nicht zulässig.

Was sagt die Rechtsprechung?

BAG 8 AZR 1007/08 (Fragerecht-Urteil)

Das Bundesarbeitsgericht hat klargestellt: Der Arbeitgeber darf nur solche Fragen stellen (und Informationen verarbeiten), an denen er ein berechtigtes, billigenswertes und schutzwürdiges Interesse hat. Das gilt analog für Informationen aus Social Media.

EuGH Schrems II (C-311/18)

Indirekt relevant: Beim Social-Media-Screening werden oft Daten über US-Plattformen (Facebook, Instagram) verarbeitet. Datenübertragungen in die USA sind nach Schrems II stark eingeschränkt.

Social-Media-Screening in der Schweiz, Österreich und EU-weit

Schweiz — revDSG und Art. 328b OR

Das revidierte Datenschutzgesetz (revDSG) und Art. 328b OR (Bearbeitung von Personendaten durch den Arbeitgeber) bilden den Rahmen. Grundsatz: Der Arbeitgeber darf nur Personendaten bearbeiten, die für das Arbeitsverhältnis notwendig sind. Social-Media-Screening muss also einen direkten Bezug zur konkreten Rolle haben. Die Schweiz kennt kein direktes AGG-Äquivalent, aber das Gleichstellungsgesetz (GlG) und das Diskriminierungsverbot der Bundesverfassung (Art. 8 BV) wirken analog.

Österreich — DSGVO + § 10 AVRAG + GlBG

Rechtsrahmen: DSGVO, § 10 AVRAG (Arbeitsvertragsrechts-Anpassungsgesetz) und das Gleichbehandlungsgesetz (GlBG). Besonderheit: Das GlBG enthält vergleichbare Tatbestände wie das deutsche AGG. Diskriminierende Ablehnung aufgrund von Social-Media-Informationen ist über § 26 GlBG sanktioniert (Schadensersatz bis zu mehreren Monatsgehältern).

EU-weit — DSGVO + Schrems II

Ein EU-weites Problem: Social-Media-Plattformen (Facebook, Instagram, X) verarbeiten Daten auf US-Servern. Nach dem EuGH-Urteil Schrems II (C-311/18) sind solche Transfers nur unter strengen Voraussetzungen zulässig. Screenings auf US-Plattformen müssen entsprechend abgesichert werden (Standardvertragsklauseln, Transfer Impact Assessment). Automatisierte Tools mit EU-Server-Architektur haben hier einen strukturellen Vorteil.

Best Practice: So geht rechtssicheres Social-Media-Screening

1. Einwilligung einholen

Auch wenn die Profile öffentlich sind — die Einwilligung des Kandidaten macht das Verfahren rechtssicher und dokumentierbar.

2. Transparenz

Dem Kandidaten mitteilen: Welche Plattformen werden geprüft? Welche Informationen werden verwendet?

3. Rolle-Bezug

Nur Informationen verwenden, die für die konkrete Rolle relevant sind. Bei einem Buchhalter ist die Frage nach Social-Media-Präsenz in der Regel nicht erforderlich — bei einem Content-Creator ja.

4. AGG-Screening

Sensitive Daten (Religion, politische Meinung etc.) im Screening ausblenden oder anonymisieren, bevor sie den Entscheidungsträger erreichen.

5. Dokumentation

Jede Prüfung dokumentieren: Wer hat wann welche Quellen geprüft? Welche Informationen wurden extrahiert? Welche Rolle spielten sie in der Entscheidung?

6. Automatisiertes Tool statt manuelle Recherche

Manuelle Recherche durch HR-Mitarbeiter ist nicht skalierbar und fehleranfällig. Spezialisierte Tools wie Indicium führen DSGVO-konformes Social-Media-Screening durch: nur öffentlich zugängliche, beruflich relevante Informationen, ohne Durchleuchten privater Profile.

Konsequenzen bei Verstoß

AGG-Klage

Bewerber kann bei diskriminierender Ablehnung Schadensersatz bis zu 3 Monatsgehältern fordern.

DSGVO-Bußgeld

Bei DSGVO-Verstoß: bis zu 20 Mio. € oder 4 % des globalen Jahresumsatzes.

Reputationsschaden

Wenn Bewerber online berichten, wie sie illegal durchleuchtet wurden, leidet das Employer Branding.

Was Indicium beim Social-Media-Screening anders macht

• Nur öffentlich zugängliche, beruflich relevante Inhalte

• Dokumentierte Einwilligung des Kandidaten

• Anonymisierung von AGG-relevanten Merkmalen

• Fokus auf berufliche Plattformen (LinkedIn, Xing) + optional öffentliche Profile bei berufsrelevantem Anwendungsfall

• Revisionssichere Dokumentation

Fazit

Social-Media-Screening ist in Deutschland erlaubt — aber nur mit klaren Leitplanken. Rollenbezug, Einwilligung, AGG-Konformität und Dokumentation sind die vier Säulen. Wer manuell prüft, bewegt sich oft an der rechtlichen Grenze. Automatisierte Tools mit DSGVO-Architektur sind der sichere Weg.

Demo buchen und Social-Media-Screening rechtssicher in den Hiring-Prozess integrieren.