Von Pre-Employment Screening bewegt sich in einem Spannungsfeld zwischen gründlicher Überprüfung und Datenschutz. Arbeitgeber wollen Risiken minimieren, dürfen dabei aber nicht über das Ziel hinausschießen. Die DSGVO setzt klare Grenzen, und Verstöße können empfindliche Strafen nach sich ziehen. Die Lösung liegt in modularen Screening-Systemen, die nur die tatsächlich benötigten Prüfungen durchführen.
Dieser Artikel erklärt die rechtlichen Grundlagen, zeigt den Vorteil modularer Systeme und gibt konkrete Empfehlungen für die datenschutzkonforme Gestaltung Ihrer Screening-Prozesse.
Rechtsgrundlagen für Background Checks in der EU
Die DSGVO bildet den übergeordneten Rahmen für die Verarbeitung personenbezogener Daten im Rahmen von Background Checks. Artikel 6 DSGVO definiert die möglichen Rechtsgrundlagen. In der Praxis kommen für Pre-Employment Screening primär drei Optionen in Betracht.
Die Einwilligung des Bewerbers nach Art. 6 Abs. 1 lit. a ist der gängigste Weg. Sie muss freiwillig, spezifisch, informiert und eindeutig sein. Problematisch ist die Frage der Freiwilligkeit im Beschäftigungskontext, da Bewerber faktisch kaum ablehnen können, ohne ihre Chancen zu gefährden. Die Vertragsanbahnung nach Art. 6 Abs. 1 lit. b kommt in Betracht, wenn der Background Check für die Vertragserfüllung unmittelbar erforderlich ist, etwa bei sicherheitsrelevanten Positionen. Das berechtigte Interesse des Arbeitgebers nach Art. 6 Abs. 1 lit. f erfordert eine dokumentierte Interessenabwägung, bei der die Schutzwürdigkeit der Bewerberinteressen gegen das Sicherheitsinteresse des Arbeitgebers abgewogen wird.
Besondere Vorsicht ist bei besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO geboten. Dazu zählen Gesundheitsdaten, Daten zur ethnischen Herkunft oder politischen Überzeugung. Die Verarbeitung dieser Daten ist grundsätzlich untersagt und nur in eng definierten Ausnahmen zulässig.
Löschfristen und Speicherbegrenzung runden den rechtlichen Rahmen ab. Screening-Ergebnisse dürfen nur so lange gespeichert werden, wie es für den Zweck der Verarbeitung erforderlich ist. Nach Abschluss des Einstellungsprozesses müssen nicht mehr benötigte Daten unverzüglich gelöscht werden, typischerweise innerhalb von drei bis sechs Monaten.
Warum modulare Systeme?
Das zentrale Problem herkömmlicher Screening-Lösungen liegt in ihrem Paketansatz: Unternehmen buchen ein Standardpaket, das eine feste Kombination von Checks umfasst, unabhängig davon, ob alle Checks für die konkrete Stelle tatsächlich erforderlich sind. Ein Social-Media-Screening für eine Position in der Buchhaltung? Eine Bonitätsprüfung für einen Softwareentwickler? Aus der Sicht Datenschutz ist das problematisch.
Das Prinzip der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO verlangt, dass nur die personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck angemessen, erheblich und auf das notwendige Maß beschränkt sind. Modulare Systeme setzen dieses Prinzip konsequent um, indem sie es Unternehmen ermöglichen, für jedes Stellenprofil individuell festzulegen, welche Checks durchgeführt werden.
Validato ist ein Beispiel für diesen modularen Ansatz. Die Plattform bietet einzeln aktivierbare Module für Identitätsverifikation, Strafregisterauszüge, Qualifikationschecks, OSINT-Analysen und Human-Risk-Bewertungen. Unternehmen können für jede Stellenkategorie ein eigenes Check-Profil definieren, das nur die relevanten Module umfasst. Das Ergebnis ist ein Screening-Prozess, der sowohl gründlich als auch datenschutzkonform ist.
Welche Module brauche ich?
Die Auswahl der richtigen Module hängt vom Stellenprofil und den branchenspezifischen Anforderungen ab. Die Identitätsverifikation ist nahezu universell erforderlich und stellt sicher, dass der Bewerber tatsächlich die Person ist, die er vorgibt zu sein. Strafregisterauszüge sind für Vertrauenspositionen mit Zugang zu Finanzen, sensiblen Daten oder Kindern und Jugendlichen unverzichtbar.
OSINT- und Social-Media-Analysen sind nur bei begründetem Interesse zulässig und sollten auf Positionen mit hohem Reputationsrisiko oder Sicherheitsrelevanz beschränkt werden. Qualifikationschecks verifizieren Abschlüsse, Zertifizierungen und Berufserfahrung und sind insbesondere bei regulierten Berufen (Ärzte, Ingenieure, Steuerberater) relevant. Die Human-Risk-Analyse geht über Standard-Checks hinaus und bewertet das Gesamtrisikoprofil eines Kandidaten. Dieses Modul ist für sicherheitsrelevante Positionen in KRITIS, Finanzbranche und Verteidigung konzipiert.
OSINT-Methoden und Datenschutz
Open Source Intelligence (OSINT) im HR-Kontext bezeichnet die systematische Auswertung öffentlich zugänglicher Informationen über Bewerber. Dazu gehören Social-Media-Profile, Forenbeiträge, Presseartikel und andere öffentlich verfügbare Daten. Die Grenze zwischen zulässiger Recherche und unzulässiger Überwachung ist jedoch dünn.
Was geprüft werden darf: Öffentlich zugängliche professionelle Profile wie LinkedIn, veröffentlichte Fachartikel oder Vorträge, Einträge in öffentlichen Registern und Medienberichte über den Bewerber im beruflichen Kontext. Was nicht geprüft werden darf: Private Social-Media-Profile, die nicht öffentlich zugänglich sind, Informationen über Gesundheit, Religion, sexuelle Orientierung oder politische Überzeugungen und Informationen aus der privaten Lebensführung ohne Bezug zur angestrebten Tätigkeit.
Technische und organisatorische Maßnahmen stellen sicher, dass OSINT-Recherchen im rechtlichen Rahmen bleiben. Dazu gehören dokumentierte Recherche-Richtlinien, geschultes Personal, automatisierte Filterung sensibler Datenkategorien und eine lückenlose Protokollierung der Rechercheschritte.
Fazit und Call-to-Action
DSGVO-konforme Background Checks erfordern einen differenzierten Ansatz, der weit über das bloße Einholen einer Einwilligung hinausgeht. Modulare Systeme wie Validato ermöglichen es Unternehmen, das Prinzip der Datenminimierung praktisch umzusetzen, indem sie für jedes Stellenprofil nur die tatsächlich erforderlichen Prüfungen aktivieren. Das Ergebnis ist ein Screening-Prozess, der sowohl gründlich als auch rechtskonform ist.