Internet Explorer: Unsere Empfehlung

×
Sie nutzen noch den Interenet Explorer 11 (IE11) und wir empfehlen Ihnen, bis zum 15. Juni 2022 auf den neuen Browser „Microsoft Edge“ oder eine aktuelle Version eines anderen gängigen Internet-Browsers (Firefox, Chrome, usw.) umzusteigen. Wir folgen damit den Empfehlungen des Unternehmens Microsoft, das ebenfalls schrittweise begonnen hat, die Unterstützung dieser Browserversion einzustellen. Bei Fragen wenden Sie sich bitte an unsere Hotline unter der Telefonnummer 089-38189-421.
CHB_RSW_Logo_mit_Welle_trans
Zeitschrift für Datenschutz | Banner

Internetrecherche im Recruiting: Hilfreich, aber gefährlich

Michael Viehweger ist Vizepräsident des Sozialgerichts Leipzig.

ZD 2025, 665   Das Verfahren, das jüngst die Aufmerksamkeit der arbeits- und datenschutzrechtlichen Praxis auf sich zog, ist schnell erzählt: Ein Rechtsanwalt bewarb sich auf eine Stelle im Justiziariat einer Universität. Weil sein Name einem Mitglied der Auswahlkommission vertraut erschien, wurde er „gegoogelt“. Eine dabei zutage getretene (nicht rechtskräftige) Verurteilung wegen gewerbsmäßigen Betrugs war Grund genug zur Annahme einer fehlenden Eignung iSd Art. 33 Abs. 2 GG, und die Stelle wurde mit einer anderen Bewerberin besetzt. Der Kläger begehrte Schadensersatz und stützte sich u.a. auf Verstöße gegen die DS-GVO. Das LAG Düsseldorf (ZD 2024, 590) sprach dem Kläger 1.000 EUR zu, weil er nicht nach Art. 14 DS-GVO informiert wurde, dass die Beklagte die Verurteilung dokumentiert und im Auswahlvermerk niedergelegt hatte. Die Recherche selbst sei allerdings rechtmäßig gewesen. Im Revisionsverfahren wurde das Urteil des LAG vom BAG nicht abgeändert

Klingt nach Klarheit? Mitnichten. Unterm Strich ein Teilsieg für den Kläger – für die Rechtspraxis weiterhin viel Unsicherheit. Die Hoffnungen, im Urteil des BAG (ZD 2025, 714 – in diesem Heft) grundlegende datenschutzrechtliche Fragen zu Background-Checks höchstrichterlich beantwortet zu bekommen, erfüllten sich nicht. Die Beklagte hatte selbst nicht Revision gegen das Urteil des LAG Düsseldorf eingelegt. Damit durfte das BAG vieles unbeantwortet lassen.

Wann sind Datenverarbeitungen in Form von Background-Checks durch Internetrecherchen für vorvertragliche Maßnahmen erforderlich?

Zu dieser Frage hatte das LAG Düsseldorf (ZD 2024, 590 Rn. 161), das auf Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO als Rechtsgrundlage abstellte, unter Bezugnahme auf die Rechtsprechung des EuGH (ZD 2021, 625) ausgeführt, dass die Anforderungen an die Erforderlichkeit nicht erfüllt seien, wenn das im allgemeinen Interesse liegende verfolgte Ziel in zumutbarer Weise ebenso wirksam mit anderen Mitteln erreicht werden könne, die weniger stark in die Grundrechte der betroffenen Personen eingreifen, wobei sich die Ausnahmen und Einschränkungen hinsichtlich des Grundsatzes des Schutzes solcher Daten auf das absolut Notwendige beschränken müssten. Daran gemessen sei der Beklagten die Google-Recherche gestattet gewesen. Indem einem Mitglied der Auswahlkommission der Name des Klägers bekannt vorgekommen sei, habe mit Blick auf Art. 33 Abs. 2 GG ein Anlass hierfür bestanden. Doch was im Einzelfall plausibel klingt, taugt noch lange nicht als allgemeiner Freibrief.

Warum die Befragung des Betroffenen im konkreten Fall kein ebenso wirksames, weniger intensiv eingreifendes Mittel zum Erlangen der notwendigen Informationen sein könnte, gilt es stets zu prüfen. Gerade wenn der Name des Betroffenen einer an der Auswahlentscheidung beteiligten Person bekannt vorkommt, wird nicht immer auf der Hand liegen, dass die gezielte Frage an den Betroffenen nach dessen Vorleben nicht genügt, um die notwendigen Informationen zu erhalten. Wer fragt, mag eine unbequeme oder unwahre Antwort riskieren – doch wer googelt, greift tiefer in Rechte ein. Apropos Anlass: Wäre es nicht vielmehr Anlass für eine Internetrecherche, wenn eine Person den Mitgliedern des Auswahlgremiums vollkommen unbekannt ist? Ob die Abgrenzung zwischen anlasslosen und anlassbezogenen Recherchen am Maßstab der DS-GVO einen Unterschied macht, dürfte Gegenstand zukünftiger Entscheidungen werden.

Woran muss sich „digitaler Beifang“ messen lassen?

Womit sich die Rechtsprechung bisher nicht nennenswert befasst hat, ist ein noch viel drängenderes Problem: Es ist eher die Regel als die Ausnahme, dass beim Googeln Informationen erlangt werden, die für die Begründung eines Arbeitsverhältnisses keine Relevanz haben (dürfen). Hierzu schwieg das LAG, weil der Streit sich allein auf die Verarbeitung des Datums der Verurteilung des Klägers verengte.

Gerade die Vielfalt der im Internet verfügbaren personenbezogenen Daten ist es, die diese Recherchen zu zT erheblichen Eingriffen in Rechte und Freiheiten werden lässt. Der digitale Beifang droht oft größer zu werden als erhofft. Vielleicht sogar größer als erlaubt? In der digitalen Flut spült es vieles an, was nicht gezielt gesucht wurde. Lässt es Art. 6 Abs. 1 UAbs. 1 lit. b DS-GVO zu, Daten zu verarbeiten, die zur Durchführung vorvertraglicher Maßnahmen nicht relevant sein dürfen? Die Antwort könnte die DS-GVO im Wortlaut der Norm selbst geben. Dafür muss der Blick weg von der Frage der Relevanz des konkreten Datums hin zur Frage der Erforderlichkeit der konkreten Verarbeitung gerichtet werden. Gibt es kein milderes Mittel als eine Internetrecherche, um an ein personenbezogenes Datum zu gelangen, dessen Erhebung für die Durchführung vorvertraglicher Maßnahmen erforderlich ist, so ist die Verarbeitung auch der personenbezogenen Daten erforderlich, die hier durch zwangsläufig – als Beifang – mitverarbeitet werden müssen. Eine Aussage zu besonderen Kategorien personenbezogener Daten iSd Art. 9 Abs. 1 DS-GVO oder gar den Daten Dritter ist damit allerdings noch nicht getroffen. Es liegt auch auf der Hand, dass dies nur für die Verarbeitung durch die Recherche selbst, mithin die Erhebung der Daten gilt. Die anschließende Verwendung – etwa für die Auswahlentscheidung – muss erneut am Maßstab der DS-GVO geprüft werden.

Kann eine unterlassene Information nach Art. 14 DS-GVO zu einem Schadensersatz nach Art. 82 DS-GVO führen?

Das LAG hat diese Frage bejaht und auf einen Kontrollverlust des Klägers verwiesen, der einen immateriellen Schaden begründen könne. Es stellt dabei aber nur auf die fehlende Information darüber ab, die Verurteilung im Auswahlvermerk niedergelegt und zum Gegenstand der Auswahlentscheidung gemacht zu haben. Unerwähnt blieb, dass Art. 14 Abs. 1 DS-GVO bereits eine Information über die Erhebung fordert. Soweit in der Berichterstattung über das Verfahren daher der Eindruck erweckt wurde, die Google-Recherche sei selbst Anlass für den Schadensersatz gewesen, griff dies zu kurz.

Das LAG begründet den Schaden damit, dass der Kläger zum bloßen Objekt der Datenverarbeitung geworden sei, einen erheblichen Kontrollverlust mit negativen Auswirkungen auf die Auswahlentscheidung erlitten habe und in seinem allgemeinen Persönlichkeitsrecht beeinträchtigt worden sei. Es definiert den Begriff des Kontrollverlusts aber nicht. Unklar bleibt daher, ob die Verobjektivierung des Klägers und die Beeinträchtigung seines allgemeinen Persönlichkeitsrechts den Kontrollverlust begründen oder neben diesem eigenständige Fallgruppen für immaterielle Schäden bilden sollen. Gerade hier zeigt sich: Wer den Kontrollverlust nicht definiert, verliert die Kontrolle über die Dogmatik.

Das BAG versteht, unter Berufung auf den EuGH (ZD2024, 150 mAnm Ligocki/Sosna), einen Kontrollverlust als eine Situation, in der die betroffene Person eine begründete Befürchtung eines Datenmissbrauchs hegt (EuGH ZD 2025, 415 Rn. 17). Das BSG (ZD 2025, 110 Rn. 31 mAnm Viehweger), auf das das BAG abstellt, wird hier noch etwas konkreter. Es sieht in einem Kontrollverlust nur eine Situation, in der die betroffene Person die begründete Befürchtung hegt, dass einige ihrer personenbezogenen Daten künftig von Dritten weiterverbreitet oder missbräuchlich verwendet werden. Hätte also auch das BAG hier einen Schadensersatzanspruch wegen eines Kontrollverlusts angenommen? Wohl eher nicht – liegt es doch nicht eben nahe, die bloße unterlassene Information über die Erhebung personenbezogener Daten durch eine Internetrecherche und über die anschließende Verwendung innerhalb des Verantwortlichen als einen Kontrollverlust zu verstehen. Denn wie soll daraus eine begründete Befürchtung einer missbräuchlichen Verwendung durch einen unbefugten Dritten – also nicht den Verantwortlichen selbst – entstehen? Selbst eine etwaige Rechtswidrigkeit der vorhergehenden Übermittlung oder Offenlegung oder der Erhebung selbst sowie einer weiteren Verwendung würde daran nichts ändern, da die fehlende Information über die Erhebung der Daten hierfür jedenfalls nicht kausal wäre.

Ob der Begriff des Kontrollverlusts, der auf Erwägungsgrund 85 S. 1 DS-GVO zurückgeht, vollständig umschreibt, was die DS-GVO hinsichtlich der Kontrolle der Betroffenen über ihre eigenen personenbezogenen Daten als immateriellen Schaden betrachtet, kann mit Blick auf Erwägungsgrund 75 DS-GVO bezweifelt werden. Nach dessen Wortlaut könne es zu einem im materiellen Schaden führen, wenn Betroffene „daran gehindert werden, die sie betreffenden personenbezogenen Daten zu kontrollieren“. Dies ist nicht nur eine alternative Formulierung für einen Kontrollverlust. Ein Verlust setzt begrifflich voraus, dass die Kontrolle zunächst bestanden hat. Werden Informationen über die Verarbeitung personenbezogener Daten nicht, nicht rechtzeitig oder nicht vollständig erteilt, bleiben die Betroffenen (jedenfalls vorerst oder teilweise) im Ungewissen über die Datenverarbeitung. Damit sind sie „daran gehindert, die sie betreffenden personenbezogenen Daten zu kontrollieren“ (BGH Beschl. v. 6.5.2025 – VI ZR53/23 Rn. 44), auch wenn sie (bisher) nie Kontrolle ausübten.

Es drängt sich auch die Frage auf, ob die betroffene Person durch eine fehlende Information nach Art. 14 DS-GVO um ihre Rechte und Freiheiten gebracht wird, wie es Erwägungsgrund 75 DS-GVO als weitere Fallgruppe für einen (immateriellen) Schaden benennt. Denn durch die fehlende Information könnten Rechte nach Art. 15 ff. DS-GVO nicht oder nur erschwert geltend gemacht werden. Zwar hat das BAG (ZD 2025, 415 Rn. 24) bereits entschieden, dass dies nicht zu einem Schadensersatz nach Art. 82 Abs. 1 DS-GVO führe, weil dieser nur eine Ausgleichs-, aber keine Abschreckungs- oder Straffunktion habe. Warum aber (nur diese) eine in Erwägungsgrund 75 DS-GVO benannte Schadensart, wenn sie zu einem Anspruch nach Art. 82 Abs. 1 DS-GVO führte, der Norm die Ausgleichsfunktion nehmen sollte, leuchtet nicht ohne Weiteres ein.

Zudem könnte diskutiert werden, ob eine unterlassene Information nach Art. 14 DS-GVO zwangsläufig die Sorge eines Verstoßes gegen sonstige Verpflichtungen aus der DS-GVO auslöst und damit eine „besondere Form des Kontrollverlusts“ oder eine eigenständige Fallgruppe zum immateriellen Schaden darstellt (BAG ZD 2025, 415 Rn. 21).

All dies wäre jedoch vom BAG wohl auch dann nicht problematisiert worden, wenn es sich mit der Frage nach einem Schadensersatz dem Grunde nach hätte befassen müssen. Würde eine der o.g. Fallgruppen zur Begründung eines Schadens eingreifen, würde der Verstoß gegen Art. 14 DS-GVO unmittelbar zu einem Schaden führen. Mit der Begründung, dass die eigenständige Anspruchsvoraussetzung des Schadens damit bedeutungslos würde, weil sie stets erfüllt sei, hat das BAG in der Vergangenheit bereits einen Schadensersatzanspruch zumindest bei Verstößen gegen Art. 15 DS-GVO abgelehnt (BAG ZD 2025, 415 Rn. 21).

Angesichts des Umstands, dass Erwägungsgrund 75 und 85 DS-GVO verschiedene Fallgruppen immaterieller Schäden benennen, wäre zu erwarten, dass sich auch in der Rechtsprechung eine differenziertere Betrachtung durchsetzt.

Fazit für die Praxis

Wer im Bewerbungsverfahren googelt, betritt unsicheres Terrain. Für Behörden und Unternehmen gilt gleichermaßen: Sie müssen interne Verfahren, Schulungen und Dokumentationen auf den Prüfstand stellen, um Risiken zu vermeiden. Gerade öffentliche Arbeitgeber stehen hier besonders im Fokus, weil sie Art. 33 Abs. 2 GG beachten müssen, Grundrechten verpflichtet sind und nicht auf Grundlage des Art. 6 Abs. 1 UAbs. 1 lit. f DS-GVO tätig werden können.

Anzeigen:

 

beck-online DatenschutzR

Teilen:

Menü