Internetrecherche über Bewerber und Prozessgegner

Bewerbung

Wenn das „Googeln“ zur datenschutzrechtlichen Falle wird: Die Digitalisierung hat die Art und Weise, wie wir Informationen über andere Personen sammeln, grundlegend verändert. Was früher mit aufwendigen Ermittlungen verbunden war, ist heute mit wenigen Klicks möglich: Eine einfache Internetrecherche reicht aus, um umfassende Profile von Bewerbern, Geschäftspartnern oder sogar Prozessgegnern zu erstellen.

Doch während diese Praxis für viele selbstverständlich erscheint, birgt sie erhebliche rechtliche Risiken – insbesondere im Lichte der Datenschutz-Grundverordnung (DSGVO). Ein aktuelles Urteil des Amtsgerichts Düsseldorf vom 19. August 2025 (Az. 42 C 61/25) zeigt dabei in einem erweiterten Sachverhalt, wie schnell aus einer scheinbar harmlosen Internetrecherche ein kostspieliger Verstoß gegen datenschutzrechtliche Pflichten werden kann. Dabei ging es um die Internetrecherche zu jemandem im Zuge eines gerichtlichen Streits, der einer Bewerbersituation nachgelagert war!

Der rechtliche Rahmen: Wann ist das „Googeln“ von Personen zulässig?

Die Verarbeitung personenbezogener Daten – und dazu zählt bereits das einfache Suchen nach einer Person im Internet – unterliegt strengen Regeln. Die DSGVO differenziert dabei nicht zwischen privaten Nutzern und Unternehmen: Sobald Daten erhoben, gespeichert oder genutzt werden, greifen ihre Vorschriften. Drei zentrale Fragen entscheiden über die Zulässigkeit einer Internetrecherche:

Liegt eine Datenverarbeitung vor?

Ja. Schon das bloße Aufrufen und Auswerten öffentlich zugänglicher Informationen über eine Person stellt eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO dar. Das gilt unabhängig davon, ob die Daten später gespeichert oder weiterverwendet werden. Diese Einordnung ist in der Rechtsprechung mittlerweile gefestigt und wurde etwa vom Landesarbeitsgericht Düsseldorf in einem Urteil vom 10. April 2024 bestätigt.

Auf welcher Rechtsgrundlage darf recherchiert werden?

Die DSGVO kennt mehrere Erlaubnistatbestände für die Datenverarbeitung. Im Kontext von Internetrecherchen sind vor allem zwei relevant:

  • Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen): Diese Norm erlaubt die Datenverarbeitung, wenn sie für die Anbahnung oder Durchführung eines Vertrags erforderlich ist. Sie kommt etwa bei Bewerbungsverfahren zum Tragen, wenn ein Arbeitgeber die Eignung eines Kandidaten prüft. Allerdings setzt dies voraus, dass die Recherche zweckgebunden erfolgt und nicht über das notwendige Maß hinausgeht. Das Landesarbeitsgericht Düsseldorf hat in seiner Entscheidung vom 10. April 2024 klargestellt, dass eine solche Recherche nur dann zulässig ist, wenn ein konkreter Anlass besteht – etwa wenn ein Mitglied der Auswahlkommission den Namen eines Bewerbers im Zusammenhang mit rechtlichen Auseinandersetzungen wiedererkennt.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Diese Vorschrift ermöglicht die Datenverarbeitung, wenn sie zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich ist und die Interessen der betroffenen Person nicht überwiegen. Ein solches Interesse kann etwa in der Rechtsverteidigung liegen, wenn ein Unternehmen sich gegen Klagevorwürfe zur Wehr setzen muss. Allerdings ist hier eine besonders sorgfältige Abwägung erforderlich, da die Schwelle für das Überwiegen der Betroffeneninteressen niedrig ist.

Welche Pflichten bestehen nach der Recherche?

Selbst wenn die Datenerhebung an sich zulässig ist, endet die rechtliche Prüfung nicht dort. Die DSGVO statuiert Informationspflichten, die oft übersehen werden in Art. 14 DSGVO (Information der betroffenen Person):

Wenn personenbezogene Daten nicht bei der betroffenen Person selbst erhoben werden – wie etwa bei einer Internetrecherche –, muss der Verantwortliche diese über die Verarbeitung informieren. Diese Pflicht umfasst insbesondere: Die Kategorien der verarbeiteten Daten (z. B. „Informationen aus öffentlich zugänglichen Quellen wie Social-Media-Profilen oder Zeitungsartikeln“); Den Zweck der Verarbeitung (z. B. „Prüfung der Eignung für eine Stelle“ oder „Rechtsverteidigung“); Die Rechtsgrundlage der Verarbeitung.Die Information muss unverzüglich erfolgen, spätestens jedoch innerhalb eines Monats nach Erhebung der Daten (Art. 14 Abs. 3 lit. a DSGVO). Eine verspätete oder unterlassene Information kann einen immateriellen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO auslösen – selbst wenn die Recherche an sich rechtmäßig war.

Der aktuelle Fall: Wenn die Rechtsverteidigung zur datenschutzrechtlichen Falle wird

Das Amtsgericht Düsseldorf hatte über einen Streit zu entscheiden, der auf den ersten Blick wenig mit Datenschutz zu tun hat: Ein Bewerber, dessen Klage gegen ein Unternehmen abgewiesen worden war, klagte nunmehr auf Schadensersatz, weil das Unternehmen im Rahmen des vorherigen Verfahrens eine Internetrecherche über ihn durchgeführt hatte – ohne ihn darüber zu informieren.

Der Sachverhalt

Der Kläger hatte sich im August 2023 bei der Beklagten, einem Unternehmen, auf eine Stelle als Sachbearbeiter beworben. Seine Bewerbung wurde abgelehnt. Im Rahmen eines späteren arbeitsgerichtlichen Verfahrens, in dem der Kläger Schadensersatzansprüche geltend machte, recherchierte die Beklagte im Internet nach seinem Namen. Dabei stieß sie auf abwertende Kommentare und Beiträge, die sie in einem Schriftsatz an das Gericht anführte. Der Kläger erfuhr erst durch diesen an das Gericht gerichtete Schriftsatz von der Recherche – eine direkte Information seitens der Beklagten war unterblieben.

Die rechtliche Bewertung des Gerichts

Das Amtsgericht Düsseldorf kam zu folgenden zentralen Feststellungen:

  1. Zulässigkeit der Recherche nach Art. 6 Abs. 1 lit. f DSGVO: Die Recherche war rechtmäßig, da sie der Wahrnehmung berechtigter Interessen diente – konkret der Verteidigung gegen die Klage des Bewerbers. Das Gericht sah es als legitim an, dass sich ein beklagtes Unternehmen über den Kläger informiert, um abzuklären, ob möglicherweise rechtsmissbräuchliche Ansprüche geltend gemacht werden. Da die Recherche auf allgemein zugängliche Quellen beschränkt blieb, überwogen die Interessen des Klägers nicht.
  2. Verstoß gegen die Informationspflicht nach Art. 14 DSGVO: Zwar war die Datenerhebung an sich zulässig, doch die Beklagte hatte den Kläger nicht unverzüglich über die Recherche informiert. Die bloße Erwähnung in einem gerichtlichen Schriftsatz genügte nicht. Das Gericht betonte, dass die Information direkt und zeitnah hätte erfolgen müssen, um dem Kläger die Möglichkeit zu geben, zu den erhobenen Daten Stellung zu nehmen oder von seinen Rechten (z. B. auf Berichtigung oder Löschung) Gebrauch zu machen.
  3. Immaterieller Schadensersatz nach Art. 82 Abs. 1 DSGVO: Der Verstoß gegen Art. 14 DSGVO führte zu einem Kontrollverlust des Klägers über seine personenbezogenen Daten. Dieser Kontrollverlust stellt nach der Rechtsprechung des Europäischen Gerichtshofs (EuGH, Urteil vom 4. Mai 2023 – C-300/21) einen ersatzfähigen immateriellen Schaden dar – selbst wenn keine weiteren negativen Konsequenzen eingetreten sind. Das Gericht setzte die Entschädigung auf 250 € fest. Maßgeblich waren dabei:
    • Die Art der verarbeiteten Daten (abwertende Kommentare mit Tatsachenkern).
    • Die fehlende Außenwirkung: Anders als in Fällen, in denen eine Recherche direkt ein Bewerbungsverfahren beeinflusst (vgl. LAG Düsseldorf, Urteil vom 10. April 2024 – 12 Sa 1007/23, wo 1.000 € zugesprochen wurden), hatte die Recherche hier keine über das Gerichtsverfahren hinausgehende Wirkung.
    • Die Vorgeschichte des Klägers: Das Gericht berücksichtigte, dass der Kläger nach eigenen Angaben bereits in einer Vielzahl ähnlicher Verfahren involviert war, was die „Strahlkraft“ des Datenschutzverstoßes für ihn verringerte.
  4. Kein Rechtsmissbrauch: Die Beklagte hatte eingewandt, der Kläger verfolge seine Ansprüche nur, um Unternehmen in kostspielige Verfahren zu verwickeln. Das Gericht ließ diesen Einwand nicht gelten: Selbst wenn der Kläger sich „berufsmäßig“ auf solche Klagen spezialisiert habe, ändere dies nichts an der Verletzung seiner datenschutzrechtlichen Rechte.
Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Das aktuelle Urteil des AG Düsseldorf unterstreicht einmal mehr: Selbst eine rechtmäßig durchgeführte Internetrecherche kann teuer werden, wenn die DSGVO-Informationspflichten ignoriert werden. Wer als Arbeitgeber oder Unternehmen personenbezogene Daten aus dem Internet erhebt – sei es im Bewerbungsverfahren oder zur Rechtsverteidigung –, muss die betroffene Person unverzüglich und transparent darüber informieren. Die bloße Erwähnung in einem Schriftsatz reicht nicht aus. Wer diese Pflichten missachtet, riskiert nicht nur Bußgelder, sondern auch Schadensersatzansprüche – selbst wenn die Recherche an sich zulässig war.

Was Arbeitgeber und Unternehmen beachten sollten

Die Entscheidung des Amtsgerichts Düsseldorf macht deutlich, dass Internetrecherchen über Bewerber, Mitarbeiter oder Prozessgegner zwar grundsätzlich zulässig sein können – jedoch nur unter strikter Einhaltung der DSGVO-Pflichten. Folgende Punkte sind besonders relevant:

1. Recherchen nur bei konkretem Anlass

Eine pauschale Internetrecherche über alle Bewerber oder Prozessgegner ist riskant. Die Rechtsprechung billigt solche Maßnahmen nur, wenn ein konkreter Anlass besteht – etwa:

  • Bei Bewerbungsverfahren: Wenn ein Mitglied der Auswahlkommission den Namen eines Bewerbers im Zusammenhang mit rechtlichen oder reputativen Risiken wiedererkennt (vgl. LAG Düsseldorf, 10. April 2024).
  • Bei Rechtsstreitigkeiten: Wenn Anhaltspunkte für rechtsmissbräuchliches Verhalten des Klägers bestehen (z. B. wiederholte Klagen mit ähnlichem Muster).

2. Unverzügliche Information der betroffenen Person

Der häufigste Fehler in der Praxis ist das Unterlassen der Information nach Art. 14 DSGVO. Unternehmen müssen die betroffene Person zeitnah über folgende Punkte aufklären:

  • Dass eine Recherche stattgefunden hat.
  • Welche Kategorien von Daten erhoben wurden (z. B. „Informationen aus öffentlich zugänglichen Internetquellen“).
  • Zu welchem Zweck die Daten verarbeitet werden.
  • Auf welcher Rechtsgrundlage die Verarbeitung beruht.

Eine Information erst im Rahmen eines gerichtlichen Verfahrens – wie im vorliegenden Fall – kommt zu spät und kann Schadensersatzansprüche auslösen.

3. Dokumentation der Recherche und ihrer Rechtfertigung

Um im Streitfall nachweisen zu können, dass die Recherche erforderlich und verhältnismäßig war, sollten Unternehmen:

  • Den Anlass der Recherche schriftlich festhalten (z. B. „Bewerber X wurde im Team als möglicherweise in frühere AGG-Klagen verwickelt genannt“).
  • Die genutzten Quellen dokumentieren (z. B. „Google-Suche am TT.MM.JJJJ mit den Suchbegriffen ‚Name + AGG‘“).
  • Die Ergebnisse kurz zusammenfassen und bewerten, warum sie für die Entscheidung relevant sind.

4. Abwägung der Interessen

Auch wenn die Recherche auf Art. 6 Abs. 1 lit. f DSGVO gestützt wird, muss eine Einzelfallabwägung erfolgen:

  • Überwiegen die Interessen des Unternehmens? Beispiel: Ein Unternehmen, das sich gegen Vorwürfe der Diskriminierung verteidigen muss, darf nachprüfen, ob der Kläger bereits in ähnlichen Verfahren aktiv war.
  • Gibt es mildere Mittel? Beispiel: Statt einer umfassenden Internetrecherche könnte zunächst eine direkte Nachfrage beim Bewerber oder Kläger erfolgen (sofern dies nicht die Verteidigungsstrategie gefährdet).

5. Umgang mit sensiblen Daten

Besondere Vorsicht ist geboten, wenn die Recherche sensible Daten (z. B. strafrechtliche Verurteilungen, Gesundheitsdaten) zutage fördert. Hier gelten strengere Maßstäbe:

  • Keine Verwertung ohne Stellungnahme: Die betroffene Person muss Gelegenheit erhalten, zu den Daten Stellung zu nehmen, bevor sie in Entscheidungen einfließen.
  • Löschungspflicht: Werden sensible Daten erhoben, die für den Zweck nicht erforderlich sind, müssen sie unverzüglich gelöscht werden.

Internetrecherchen als zweischneidiges Schwert

Die Entscheidung des Amtsgerichts Düsseldorf zeigt, dass selbst eine an sich zulässige Internetrecherche schnell zu kostspieligen Konsequenzen führen kann, wenn die Informationspflichten der DSGVO missachtet werden. Arbeitgeber und Unternehmen sollten daher folgende Grundsätze beachten:

  • Recherchieren Sie nur bei konkretem Anlass – pauschales „Googeln“ ist riskant.
  • Informieren Sie die betroffene Person unverzüglich über die Datenverarbeitung, spätestens innerhalb eines Monats.
  • Dokumentieren Sie Anlass, Umfang und Ergebnis der Recherche, um im Streitfall nachweisen zu können, dass sie verhältnismäßig war.
  • Vermeiden Sie die Verwertung sensibler Daten ohne vorherige Stellungnahme der betroffenen Person.
  • Prüfen Sie Alternativen: Oft reicht eine direkte Nachfrage aus, um die notwendigen Informationen zu erhalten – ohne datenschutzrechtliche Risiken.

Wer planlos recherchiert, riskiert nicht nur Bußgelder, sondern auch Schadensersatzklagen – selbst wenn die Recherche an sich berechtigt möglicherweise berechtigt war.

Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)
Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist renommierter Strafverteidiger im gesamten Strafrecht samt Managerhaftung (mit Schwerpunkt Wirtschaftskriminalität und Cybercrime) sowie Spezialist im IT-Recht mit Schwerpunkt Softwarerecht und digitale Beweismittel. Als Fachanwalt für Strafrecht + IT-Recht verteidigt er Mandanten in anspruchsvollen Strafverfahren, speziell an der Schnittstelle von Strafrecht & IT-Recht und berät in komplexen Softwareprojekten.

Rechtsanwalt Jens Ferner ist Lehrbeauftragter für Wirtschaftsstrafrecht und IT-Compliance (FH Aachen), Softwareentwickler, fortgebildet in Kommunikationspsychologie und publiziert fortlaufend.

Erreichbarkeit: Erstkontakt per Mail oder Rückruf.

Unsere Anwaltskanzlei im Raum Aachen ist hochspezialisiert auf Strafverteidigung, Cybercrime, Wirtschaftsstrafrecht samt Steuerstrafrecht. Zudem sind wir für Unternehmen im Softwarerecht und Cybersicherheitsrecht beratend tätig.