Datenschutz im Bewerbungsverfahren: Über Internetrecherche ist zu informieren!

von Nadja-Maria

Das Urteil des Amtsgerichts Düsseldorf vom 19. August 2025 (Az. 42 C 61/25) befasst sich mit einer Kernfrage des europäischen Datenschutzrechts: Welche Anforderungen gelten, wenn Unternehmen personenbezogene Daten nicht direkt bei der betroffenen Person, sondern aus öffentlich zugänglichen Quellen erheben?

Die Entscheidung verdeutlicht, dass selbst dort, wo die Recherche an sich zulässig ist, die Pflicht zur Information nach Art. 14 DSGVO zwingend einzuhalten ist. Für Unternehmen und ihre Führungskräfte liegt die Relevanz auf der Hand: Eine vermeintlich harmlose Internetrecherche kann ohne entsprechende Transparenz zu Schadensersatzansprüchen führen.

Der konkrete Fall und die Entscheidung des Gerichts

Ausgangspunkt war die Bewerbung des Klägers bei einem Unternehmen. Nachdem die Bewerbung abgelehnt wurde, kam es später zu einem Rechtsstreit, in dessen Verlauf die Beklagte eine Internetrecherche über den Kläger durchführte. Die Ergebnisse flossen in einen Schriftsatz ein, der beim Gericht eingereicht wurde. Der Kläger erfuhr erst dadurch, dass die Beklagte im Internet nach Informationen über ihn gesucht hatte. Er machte geltend, dass seine Informationsrechte verletzt wurden, und verlangte immateriellen Schadensersatz.

Das Amtsgericht Düsseldorf stellte klar, dass die Internetrecherche selbst rechtmäßig war. Unternehmen dürfen sich auf Art. 6 Abs. 1 lit. f DSGVO berufen, wenn sie öffentlich zugängliche Informationen zur Wahrung berechtigter Interessen verwenden, insbesondere im Kontext einer Rechtsverteidigung. Unzulässig war jedoch, dass der Kläger nicht direkt über die Erhebung informiert wurde. Die bloße Vorlage der Informationen in einem Schriftsatz erfüllt die Informationspflicht nach Art. 14 DSGVO nicht. Das Gericht sprach dem Kläger deshalb 250 Euro Schadensersatz zu und betonte, dass schon der Kontrollverlust über die eigenen Daten einen immateriellen Schaden darstellen kann.

Art. 13 und Art. 14 DSGVO als normative Grundlage

Das Urteil rückt die Grundlogik der DSGVO in den Vordergrund. Während Art. 13 regelt, welche Informationen zu erteilen sind, wenn Daten direkt bei einer Person erhoben werden, verpflichtet Art. 14 auch dann zur Information, wenn Daten aus anderen Quellen stammen. In beiden Fällen verfolgt die Verordnung das Ziel, Transparenz sicherzustellen und den Betroffenen die Ausübung ihrer Rechte zu ermöglichen. Zu den verpflichtenden Angaben zählen die Zwecke und Rechtsgrundlagen der Verarbeitung, die Kategorien der erhobenen Daten, die geplante Speicherdauer, die Empfänger oder Kategorien von Empfängern sowie die Rechte der betroffenen Person. Diese Informationen müssen unverzüglich und in klarer, verständlicher Form bereitgestellt werden.

Das Amtsgericht Düsseldorf legt Art. 14 in diesem Zusammenhang streng aus. Es betont, dass die betroffene Person nicht nur irgendwann, sondern unmittelbar und direkt über die Recherche informiert werden muss. Eine indirekte Information, etwa über Schriftsätze in einem Verfahren, genügt nicht.

Praktische Konsequenzen für Unternehmen

Das Urteil zeigt, dass die eigentliche Handlung – das Abrufen öffentlich zugänglicher Informationen – rechtlich zulässig sein kann, während die Pflichtverletzung erst im Unterlassen der Information liegt. Für Unternehmen bedeutet dies, dass Compliance im Bereich der Informationspflichten nicht vernachlässigt werden darf. Wer personenbezogene Daten verarbeitet, egal ob im Bewerbungsverfahren, in Rechtsstreitigkeiten oder in Due-Diligence-Prozessen, muss sich bewusst machen, dass die Transparenzpflicht sofort und direkt einzuhalten ist. Andernfalls drohen nicht nur Bußgelder durch Aufsichtsbehörden, sondern auch individuelle Schadensersatzforderungen.

Darüber hinaus verdeutlicht die Entscheidung, dass Gerichte zunehmend bereit sind, schon geringe Beeinträchtigungen als immateriellen Schaden anzuerkennen. Für Unternehmen erhöht sich damit das finanzielle Risiko auch in Fällen, in denen kein unmittelbarer materieller Schaden entstanden ist. Das erfordert eine präzisere Dokumentation von Rechercheaktivitäten und eine klare interne Verantwortlichkeit für die Umsetzung von Art. 13 und Art. 14 DSGVO.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

/assets/images/t/Nadja-22bmdatj0e84j29.png
Nadja-Maria

Nadja-Maria leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.