BAG-Urteil macht heimliches Googeln von Bewerbern teuer

Ein neues Urteil des Bundesarbeitsgerichts stellt Personalabteilungen vor eine klare Wahl: Transparenz oder teure Schadensersatzforderungen. Seit Mitte 2025 haften Arbeitgeber für verdeckte Online-Recherchen über Bewerber. Die ersten Analysen zum Jahresbeginn 2026 zeigen, dass das Risiko real und kostspielig ist.

Die neue Rechtslage: Ein Paradigmenwechsel im Recruiting

Der Bundesgerichtshof entschied am 5. Juni 2025 in einem Grundsatzurteil (Az. 8 AZR 117/24), dass die heimliche Internetrecherche einen Schadensersatzanspruch begründet. Konkret ging es um eine Universität, die einen Bewerber für eine Juristenstelle ablehnte, nachdem eine Google-Suche einen Wikipedia-Eintrag über eine nicht rechtskräftige Verurteilung wegen Betrugs zutage gefördert hatte. Das Gericht verurteilte den Arbeitgeber zur Zahlung von 1.000 Euro immateriellen Schadensersatzes – nicht wegen der Ablehnung, sondern allein wegen der verheimlichten Datenerhebung.

Rechtsexperten wie die Küttner Rechtsanwälte warnen in aktuellen Analysen vom 8. Januar 2026 vor einem „Transparenz-Falle“. Der Kern des Problems liegt in Artikel 14 der DSGVO. Dieser verpflichtet Arbeitgeber, Bewerber zu informieren, wenn sie personenbezogene Daten aus anderen Quellen als vom Bewerber selbst beziehen – und dazu zählen auch öffentliche Suchmaschinen oder soziale Netzwerke.

Passend zum Thema DSGVO-Pflichten: Droht Ihrem Unternehmen wegen heimlicher Online-Recherchen ein Bußgeld oder Schadenersatz? Eine praxisnahe Anleitung zur Datenschutz-Folgenabschätzung erklärt, wann Bewerberprüfungen ein hohes Risiko darstellen, welche Dokumentation nötig ist und wie Sie formale Fehler vermeiden. Inklusive bearbeitbarer Vorlagen und Checklisten für Personalabteilungen. DSFA-Vorlage & Leitfaden kostenlos herunterladen

Warum das für jedes Unternehmen relevant ist

Die Entscheidung betrifft nicht nur den öffentlichen Dienst. Wie das Handwerksblatt in einem Bericht vom 8. Januar 2026 betont, gilt die Rechtslage für alle Unternehmen, vom Handwerksbetrieb bis zum DAX-Konzern. Der Unterschied zwischen einem „kurzen Blick“ und einer datenschutzrechtlich relevanten „Datenverarbeitung“ ist für Gerichte hinfällig, sobald die gefundenen Informationen in die Personalentscheidung einfließen.

Die Folge: Jeder abgelehnte Bewerber, der ohne sein Wissen „gegoogelt“ wurde, kann nun Schadensersatz fordern. Die 1.000 Euro aus dem Präzedenzfall gelten Juristen als Basisbetrag für Standardverstöße. Bei sensibleren Daten oder systematischen Verstößen drohen deutlich höhere Summen. Besonders heikel: Es mehren sich Berichte über sogenannte DSGVO-Tester – Bewerber, die nach einer Absage gezielt Auskunftsersuchen stellen, um versteckte Hintergrundchecks aufzudecken.

Drei Sofortmaßnahmen für die Personalpraxis 2026

Um das Haftungsrisiko zu minimieren, empfehlen Experten drei konkrete Schritte:

1. Transparente Hinweise: Stellenanzeigen und Datenschutzerklärungen im Bewerberportal müssen klarstellen, dass öffentlich zugängliche berufliche Informationen online geprüft werden können.
2. Lückenlose Dokumentation: Jede Recherche muss protokolliert werden. Wird eine negative Information zur Ablehnung herangezogen, muss der Bewerber die Gelegenheit zur Stellungnahme erhalten.
3. Getrennte Prozesse: Die Recherche-Funktion sollte von der eigentlichen Entscheidungsfindung organisatorisch getrennt sein, um nur relevante und verifizierte Daten in die Auswahl einfließen zu lassen.

Die Kosten für diese Compliance-Maßnahmen sind nach Ansicht von Fachanwälten auf Anwalt.de vernachlässigbar im Vergleich zum kumulierten Risiko tausender Euro Schadensersatz pro Jahr.

Offene Fragen und die Grenzen der Legitimität

Während berufliche Netzwerke wie LinkedIn oder Xing weiterhin als legitime Recherchequellen gelten, bleibt die Ausforschung privater Social-Media-Profile ein Hochrisikogebiet. Die Gerichte müssen noch klarer definieren, wo das berechtigte Interesse des Arbeitgebers endet und eine unzulässige Neugier beginnt.

Die Botschaft für das Jahr 2026 ist jedoch eindeutig: Wer sucht, muss informieren. Die Zeit des heimlichen Vettings ist endgültig vorbei. Für Personalverantwortliche bedeutet das eine grundlegende Anpassung ihrer Prozesse – oder die Bereitschaft, für jeden Verstoß zu bezahlen.

PS: Viele Personalabteilungen unterschätzen die Dokumentationspflichten nach Art. 30 DSGVO – ein lückenhaftes Verzeichnis kann Prüfungen und Bußgelder nach sich ziehen. Eine fertige Excel-Vorlage für das Verarbeitungsverzeichnis hilft schnell, alle Verarbeitungstätigkeiten zu erfassen und Nachweise bei Auskunftsersuchen zu liefern. Ideal für Recruiter, die ihre Prozesse DSGVO-konform dokumentieren möchten. Verarbeitungsverzeichnis-Excel kostenlos herunterladen