Background Check für IT-Spezialisten 2026: Rechtliche und praktische Aspekte

2026-01-03

Kandidatenverifizierung in der IT wächst - von Referenzprüfungen bis Criminal Background Checks. Was kann man in Polen legal prüfen? Wie beeinflusst die DSGVO das Screening? Wo sind die Grenzen?

Bartosz Ciepierski

Ein Fintech stellt einen Senior Security Engineer nach drei Interviewrunden ein. Beeindruckender Lebenslauf - 10 Jahre Erfahrung, CISSP- und CISM-Zertifizierungen, vorheriger Arbeitgeber eine renommierte Big4-Firma. Drei Monate später entdeckt ein internes Audit: Der Ingenieur hat Kundendaten gestohlen. Untersuchung: Lebenslauf war gefälscht, vorheriger Arbeitgeber hatte nie von ihm gehört, Zertifizierungen ungültig. Background Check vor der Einstellung? Gab es nicht.

Lesen Sie auch: Junior-Entwickler-Krise 2026: Warum Unternehmen aufgehört ha

Das ist ein extremer Fall, aber das Problem ist real. Forschungen zeigen, dass 30-50% der Lebensläufe Ungenauigkeiten enthalten - von kleinen (übertriebene Beschäftigungsdaten) bis zu schwerwiegenden (gefälschte Ausbildung, nicht existierende Unternehmen). In der IT, wo Spezialisten Zugang zu sensiblen Systemen und Daten haben, ist das Risiko erhöht.

Gleichzeitig ist Background Check in Polen ein sensibles Thema. DSGVO, Arbeitsgesetzbuch, Datenschutzgesetz - alles legt Beschränkungen auf, was ein Arbeitgeber prüfen kann. Die Grenze zwischen Due Diligence und Privatsphärenverletzung ist dünn und nicht immer klar.

Was ist ein Background Check und warum wächst seine Bedeutung in der IT?

Background Check ist Verifizierung der vom Kandidaten bereitgestellten Informationen: Identität, Ausbildung, Beschäftigungshistorie, möglicherweise Strafregister, Kredit, Social Media. Der Umfang hängt ab von: Position, Branche, Regulierungen und Unternehmenspolitik.

Die wachsende Bedeutung in der IT hat mehrere Ursachen. Erstens, Remote Hiring - du stellst jemanden ein, den du nie persönlich getroffen hast, mit einem Lebenslauf, der leicht zu fälschen ist. Zweitens, Cyber-Bedrohungen - Insider-Threats sind eines der größten Sicherheitsrisiken. Drittens, regulatorische Anforderungen - Fintech, Healthcare, Regierungsauftragnehmer haben Mitarbeiterverifizierungsanforderungen.

Der IT-Markt ist wettbewerbsintensiv. Kandidaten wissen, dass Nachfrage besteht. Manche übertreiben Erfahrung, andere geben gefälschte Zertifizierungen an. In HireRight-Forschung entdeckten 85% der Arbeitgeber Ungenauigkeiten in Kandidaten-Lebensläufen.

Kosten einer falschen Entscheidung sind hoch. Die falsche Person einzustellen bedeutet: Rekrutierungskosten, Onboarding, Kündigung, mögliche Schäden (Datenleck, IP-Diebstahl, Reputationsschaden). Background Check kostet einen Bruchteil davon.

Welche Daten kann man legal über einen Kandidaten in Polen sammeln?

Arbeitsgesetzbuch Artikel 22¹ definiert den Katalog von Daten, die ein Arbeitgeber von einem Kandidaten verlangen kann:

Vorname(n) und Nachname
Geburtsdatum
Kontaktinformationen
Ausbildung
Berufsqualifikationen
Beschäftigungshistorie

Nach Einstellung zusätzlich: PESEL (nationale ID-Nummer), Wohnadresse, Bankkontonummer, Daten zum Familienstatus (für Sozialleistungen).

Erweiterung des Katalogs erfordert Rechtsgrundlage. Wenn separate Vorschriften Strafregisterprüfung verlangen (z.B. für Finanzsektor, Sicherheitsdienste) - kann man Unbedenklichkeitsbescheinigung verlangen. Ohne solche Grundlage - nicht möglich.

Kandidateneinwilligung ist keine universelle Lösung. DSGVO sagt, Einwilligung muss freiwillig sein. In der Arbeitgeber-Kandidaten-Beziehung gibt es Machtasymmetrie - Kandidat “muss” zustimmen, um den Job zu bekommen. UODO (Datenschutzbehörde) vertritt die Position, dass Kandidateneinwilligung nicht Grundlage für Erweiterung des Datenumfangs über das Arbeitsgesetzbuch hinaus sein kann.

Ausnahme: Daten, die für Vertragserfüllung oder rechtliche Verpflichtung notwendig sind. Wenn die Position bestimmte Qualifikationen erfordert (z.B. Zertifikat, Berechtigungen) - kann man Dokumentation verlangen.

Wie verifiziert man Ausbildung und Zertifizierungen gesetzeskonform?

Ausbildung ist im Arbeitsgesetzbuch-Katalog - kann verlangt werden. Kandidat präsentiert Diplom. Kann man es durch Kontakt mit der Universität verifizieren? In der Praxis - schwierig. Universitäten weigern sich oft, personenbezogene Daten ohne Einwilligung des Absolventen zu bestätigen.

Lösung: Kandidaten um Einwilligung zur Verifizierung bitten. Einwilligung für spezifische Aktion (Bestätigung des Diploms bei Universität X) ist zielgerichteter als pauschale Einwilligung für “alle Prüfungen.”

IT-Berufszertifizierungen. Die meisten Zertifizierungsorganisationen (Cisco, Microsoft, AWS, (ISC)², ISACA) haben öffentliche Register, wo man Zertifikat nach Nummer oder Namen verifizieren kann. Das sind öffentliche Daten - Verifizierung ist erlaubt.

Gefälschte Zertifizierungen sind ein reales Problem. Im Darknet kann man “Zertifikate” mit Nummern kaufen, die legitim aussehen, aber nicht im Register existieren. Immer in offizieller Quelle verifizieren.

Akademische Titel. Register der Doktoren und Habilitierten ist öffentlich (POL-on-Datenbank). Verifizierung von Dr./Dr. habil.-Titeln ist einfach.

Wie führt man Referenzprüfung durch, ohne DSGVO zu verletzen?

Referenzprüfung: Du kontaktierst früheren Arbeitgeber, fragst nach Kandidat. Ist das legal?

Früherer Arbeitgeber hat das Recht, Beschäftigungsfakt zu bestätigen. Das ist keine Offenlegung besonders geschützter Daten - es ist Bestätigung eines öffentlichen Fakts (Kandidat behauptet, er hat gearbeitet, Arbeitgeber bestätigt oder verneint).

Details über Beschäftigungsverlauf erfordern Vorsicht. “Wie bewerten Sie seine Arbeit?” - das ist subjektive Meinung, kein Fakt. Früherer Arbeitgeber kann Antwort verweigern (und tut das oft).

Best Practice: Kandidateneinwilligung. Kandidaten um schriftliche Einwilligung bitten, frühere Arbeitgeber zu kontaktieren, und Liste der Kontakte. Kandidat selbst gibt Referenzen an - und “autorisiert” damit den Kontakt.

Was kann man in Referenzprüfung fragen?

Beschäftigungsdaten (von-bis)
Position
Aufgabenbereich (allgemein)
Würden Sie diese Person wieder einstellen? (oft verweigert Antwort)

Was vermeiden?

Fragen zu Gesundheit, Schwangerschaft, Familienplanung (Diskriminierung)
Fragen zu politischen Ansichten, Religion (DSGVO - besondere Kategorien)
Fragen zu Kündigungsgründen (früherer Arbeitgeber möchte möglicherweise nicht offenlegen)

Wann und wie kann man das Strafregister eines Kandidaten prüfen?

Führungszeugnis (KRK) kann nur verlangt werden, wenn separate Vorschriften es erfordern. Beispiele:

Finanzsektor (Finanzaufsichtsbehörden-Gesetz)
Sicherheitsdienste (Sicherheitsdienstgesetz)
Arbeit mit Kindern (Kinderschutzgesetz)
Lehrer (Lehrercharta)
Öffentliche Aufträge (bestimmte Klauseln)

Für “normale” IT-Position - gibt es keine Rechtsgrundlage, KRK zu verlangen. Kandidat kann ablehnen und hätte Recht.

Ausnahme: Positionen mit besonderer Verantwortung. Arbeitsgerichts-Rechtsprechung erlaubt Strafregisterprüfungen für Positionen, wo Straflosigkeit “wesentliche Voraussetzung für ordnungsgemäße Arbeitsausführung” ist. Aber das ist riskante Interpretation, die individuelle Bewertung erfordert.

Internationale Projekte. Wenn Mitarbeiter für ausländischen Kunden arbeitet, der Background Check verlangt - Kunde kann eigene Anforderungen haben. Aber das ändert polnisches Recht nicht - man muss Grundlage in polnischen Vorschriften oder gültige Einwilligung haben.

Wie verifiziert man Beschäftigungshistorie und vermeidet Fallstricke?

Verifizierung von Beschäftigungsdaten. Man kann Kandidaten um Arbeitszeugnisse bitten - öffentliches Dokument. Alternativ, mit Kandidateneinwilligung, HR des früheren Arbeitgebers kontaktieren.

Lebenslauflücken. Kandidat hat 6-Monate-Lücke. Man kann fragen “Was haben Sie in dieser Zeit gemacht?” - Kandidat kann antworten oder verweigern. Man darf nicht annehmen (z.B. er war im Gefängnis) und auf dieser Basis diskriminieren.

Freelance/B2B-Historie. Schwerer zu verifizieren. Kandidat behauptet, er war “Freelancer für Firma X.” Firma X ist Einzelunternehmen eines Freundes. Wie verifizieren? Man kann um Rechnungen, Verträge bitten - aber Kandidat kann wegen Vertraulichkeit ablehnen.

LinkedIn als Quelle. LinkedIn-Profil ist öffentlich - man kann prüfen, ob es mit Lebenslauf übereinstimmt. Aber bedenke: LinkedIn sind auch selbst gemeldete Daten, keine verifizierte Quelle.

LinkedIn-Empfehlungen. Öffentlich, für jeden sichtbar. Man kann sie lesen, aber nicht Personen ohne Kandidateneinwilligung kontaktieren (das wäre Kontakt “in seiner Angelegenheit”).

Öffentliche Profile sind öffentlich. Was Kandidat auf öffentlichem Facebook oder Twitter veröffentlicht hat - ist für jeden verfügbar, einschließlich potenzieller Arbeitgeber.

Aber die Nutzung dieser Daten ist riskant. Wenn du basierend auf öffentlichem Post über sexuelle Orientierung Kandidaten nicht einstellst - das ist Diskriminierung. Wenn basierend auf Foto aus der Kirche - religiöse Diskriminierung.

Verbot der Erhebung besonderer Kategorien von Daten. DSGVO Artikel 9 - Daten über Orientierung, Ansichten, Gesundheit, Religion sind besonders geschützt. Man darf sie nicht “erheben”, selbst aus öffentlichen Quellen für Rekrutierungsentscheidungen.

Praktischer Rat. Systematisches Durchsuchen von Social Media der Kandidaten vermeiden. Wenn etwas zufällig auftaucht (Kandidat ist öffentlich bekannt für kontroverse Aussagen) - mit Anwalt konsultieren vor Entscheidung.

Professionelle Präsenz prüfen. LinkedIn, GitHub, Stack Overflow, technische Blogs - das sind professionelle Plattformen. Prüfung der beruflichen Aktivität des Kandidaten ist akzeptabler als Durchsuchen privater Urlaubsfotos.

Wie outsourct man Background Check an externe Unternehmen?

Background-Check-Anbieter. Auf Verifizierung spezialisierte Unternehmen: HireRight, Sterling, lokale polnische Firmen. Sie bieten: Ausbildungsverifizierung, Beschäftigung, Strafregister (wo erlaubt), Credential-Verifizierung.

Als Verantwortlicher bist du für Compliance verantwortlich. Wenn du Background Check an externes Unternehmen auslagerst - das ist Datenverarbeitung durch einen Auftragsverarbeiter. Du musst Auftragsverarbeitungsvertrag (AVV) haben und sicherstellen, dass Unternehmen gesetzeskonform handelt.

Umfang des Auftrags muss legal sein. Du kannst Arbeitsgesetzbuch-Beschränkungen nicht umgehen, indem du Background Check an externes Unternehmen auslagerst. Wenn du KRK nicht direkt verlangen kannst - kann externes Unternehmen es auch nicht für dich bekommen.

Internationale Background Checks. Für Kandidaten mit Arbeitshistorie im Ausland - Verifizierung ist schwieriger. Andere Jurisdiktionen, andere Regeln, andere Systeme. Spezialisierte Unternehmen haben globale Partnernetzwerke.

Kosten. Basis-Verifizierung (Ausbildung, Beschäftigung): 200-500 PLN. Umfassender Check (mit Strafregister, international): 1000-3000 PLN. Konzerne zahlen mehr für Pakete.

Wie baut man eine Background-Check-Policy gesetzeskonform auf?

Umfang für verschiedene Positionsebenen definieren. Entry Level: Ausbildungsverifizierung, Referenzprüfung. Senior/Management: +Beschäftigungsverifizierung bei wichtigen Arbeitgebern. Hochrisiko (Security, Finance-Zugang): +Strafregisterprüfung wenn erlaubt.

Rechtsgrundlagen dokumentieren. Für jedes Background-Check-Element - was ist die Grundlage: Arbeitsgesetzbuch Art. 22¹, separates Gesetz, Kandidateneinwilligung (und ihre Grenzen).

Transparenz gegenüber Kandidaten. Kandidaten informieren, dass du Background Check durchführst, welcher Umfang, welche Quellen. DSGVO verlangt Information über Verarbeitung.

Verfahren bei negativen Ergebnissen. Was tust du, wenn Background Check Lebenslauf-Diskrepanz aufdeckt? Kandidaten Chance zur Erklärung geben - könnte Fehler sein. Entscheidungsprozess dokumentieren.

Speicherung und Aufbewahrung. Background-Check-Daten - wie lange aufbewahren? Für nicht eingestellte Kandidaten - kurz (3-6 Monate Standard). Für Eingestellte - Beschäftigungszeitraum + gesetzliche Anforderungen.

Schulung für Hiring Manager und HR. Leute, die Verifizierung durchführen, müssen wissen, was sie dürfen und was nicht. Eine illegale Frage = Risiko für Unternehmen.

Was sind Konsequenzen bei Verletzung von Vorschriften beim Background Check?

DSGVO: Bußgelder bis 20 Millionen EUR oder 4% des Umsatzes. Datenverarbeitung ohne Rechtsgrundlage, Erhebung übermäßiger Daten, fehlende Verarbeitungsinformation.

Arbeitsgesetzbuch: Arbeitnehmeransprüche. Einstellungsverweigerung basierend auf illegal erhobenen Daten - Kandidat kann Schadensersatz fordern.

Diskriminierung: Arbeitsaufsichtsbehörde und Arbeitsgericht. Rekrutierungsentscheidung basierend auf Religions-, Orientierungs-, Schwangerschaftsdaten - Diskriminierung mit Schadensersatzansprüchen.

Reputation. Unternehmen bekannt für invasive Background Checks - schwerer, Talente anzuziehen. Glassdoor-Bewertungen, Social Media - Information verbreitet sich.

Strafrechtliche Haftung (in extremen Fällen). KRK-Daten ohne Rechtsgrundlage erhalten oder Verifizierungsdokumente fälschen - potenzielle strafrechtliche Haftung.

Wie kommuniziert man Background Check an Kandidaten?

Timing. Über Background Check früh im Prozess informieren - in Stellenanzeige oder zu Beginn der Rekrutierung. Kandidat mit etwas zu verbergen zieht sich möglicherweise selbst zurück.

Kommunikationsinhalt. “Im Rahmen des Rekrutierungsprozesses führen wir Verifizierung der im Lebenslauf angegebenen Daten durch, einschließlich Kontakt mit früheren Arbeitgebern. Wir bitten um Einwilligung zu diesem Kontakt.” Klar, spezifisch, keine Panikmache.

Einwilligung und ihre Grenzen. Bedenke, dass Einwilligung in Arbeitgeber-Arbeitnehmer-Beziehung begrenzten Wert hat. Besser auf Arbeitsgesetzbuch und spezifische Regulierungsgrundlagen vertrauen als auf Einwilligung als einzige Grundlage.

Information über Ergebnisse. Wenn Background Check Problem aufdeckt und du entscheidest, nicht einzustellen - Kandidat hat Recht zu wissen warum (DSGVO, Auskunftsrecht). Sei auf dieses Gespräch vorbereitet.

Möglichkeit zur Anfechtung. Kandidat kann behaupten, Verifizierung ist falsch. Chance zur Erklärung/Korrektur geben vor finaler Entscheidung.

Tabelle: Was du prüfen kannst und was nicht - Schnellreferenz

Zu verifizierendes Element	Kannst du?	Grundlage	Wie?	Hinweise
Identität (Name, Nachname)	Ja	Arbeitsgesetzbuch 22¹	Ausweis	Bei Einstellung prüfen
Ausbildung	Ja	Arbeitsgesetzbuch 22¹	Diplom, Kontakt mit Universität (mit Einwilligung)	Zertifizierungen in offiziellen Registern verifizieren
Beschäftigungshistorie	Ja	Arbeitsgesetzbuch 22¹	Arbeitszeugnisse, Referenzprüfung (mit Einwilligung)	Früherer Arbeitgeber kann Details verweigern
Berufliche Zertifizierungen	Ja	Arbeitsgesetzbuch 22¹ (Qualifikationen)	Offizielle Register (öffentlich)	Immer an Quelle verifizieren
Strafregister (KRK)	Kommt drauf an	Separate Vorschriften (Finanzen, Kinder, Sicherheit)	KRK-Bescheinigung	Ohne Rechtsgrundlage - nicht verlangt werden
Bonitätsprüfung	Nein*	Keine Grundlage	N/A	*Nur für Finanzsektor mit Grundlage
Social Media (öffentlich)	Technisch ja	Öffentliche Daten	Durchsuchen	Vermeiden - Diskriminierungsrisiko
Gesundheit	Nein	DSGVO besondere Kategorien	N/A	Nur ärztliche Untersuchung nach Einstellungsentscheidung
Politische Ansichten, Religion	Nein	DSGVO besondere Kategorien	N/A	Diskriminierung
Sexuelle Orientierung	Nein	DSGVO besondere Kategorien	N/A	Diskriminierung
Familienstatus, Schwangerschaft	Nein	Arbeitsgesetzbuch Diskriminierung	N/A	Verbotene Fragen in Rekrutierung

Background Check in Polen ist möglich, erfordert aber rechtliche Vorsicht. Grenzen werden gesetzt durch: Arbeitsgesetzbuch, DSGVO, spezifische Vorschriften und Verhältnismäßigkeitsprinzip. Nicht alles technisch Mögliche ist legal; nicht alles Legale ist ethisch.

Wichtige Erkenntnisse:

Arbeitsgesetzbuch Art. 22¹-Katalog ist die Grundlage - Ausbildung, Beschäftigung, Qualifikationen
KRK nur mit spezifischer Vorschriftengrundlage - nicht für “normale” IT-Positionen
Kandidateneinwilligung ist keine universelle Lösung - hat begrenzte Macht in Arbeitgeber-Kandidaten-Beziehung
Referenzprüfung mit Kandidateneinwilligung - früherer Arbeitgeber kann dennoch verweigern
IT-Zertifizierungen in öffentlichen Registern verifizieren - legal und einfach
Social Media - systematisches Durchsuchen vermeiden, Diskriminierungsrisiko
Policy dokumentieren, Team schulen, Kandidaten transparent informieren

Richtig gestalteter Background Check schützt Unternehmen vor Fehlbesetzungen ohne Kandidatenrechte zu verletzen. Diese Balance ist erreichbar.

ARDURA Consulting bietet IT-Recruiting-Services mit professioneller Kandidatenverifizierung konform mit polnischem Recht. Unser Prozess umfasst Credential-Verifizierung, Referenzprüfungen und Due Diligence, angepasst an Kundenanforderungen und Vorschriften. Kontaktiert uns, um sichere und effektive IT-Spezialistenrekrutierung zu besprechen.

Häufig gestellte Fragen

Was ist Background Check für IT-Spezialisten?

Welche Daten kann man legal über einen Kandidaten in Polen sammeln?

Arbeitsgesetzbuch Artikel 22¹ definiert den Katalog von Daten, die ein Arbeitgeber von einem Kandidaten verlangen kann: Vorname(n) und Nachname Geburtsdatum Kontaktinformationen Ausbildung Berufsqualifikationen Beschäftigungshistorie Nach Einstellung zusätzlich: PESEL (nationale ID-Nummer), Wohnadre...

Wie funktioniert Background Check für IT-Spezialisten?

Was sind die Grenzen bei Social-Media-Prüfungen?

Öffentliche Profile sind öffentlich. Was Kandidat auf öffentlichem Facebook oder Twitter veröffentlicht hat - ist für jeden verfügbar, einschließlich potenzieller Arbeitgeber. Aber die Nutzung dieser Daten ist riskant.

Was sind Konsequenzen bei Verletzung von Vorschriften beim Background Check?

DSGVO: Bußgelder bis 20 Millionen EUR oder 4% des Umsatzes. Datenverarbeitung ohne Rechtsgrundlage, Erhebung übermäßiger Daten, fehlende Verarbeitungsinformation. Arbeitsgesetzbuch: Arbeitnehmeransprüche.

Über den Autor

Bartosz Ciepierski

Chief Executive Officer

Erfahrene Führungskraft mit umfangreichem Hintergrund in der IT-Branche, derzeit CEO bei ARDURA Consulting. Seine Karriere zeigt eine beeindruckende Entwicklung – von technischen Rollen bis zum strategischen Management im Bereich IT-Dienstleistungen und Staff Augmentation. Diese vielseitige Perspektive ermöglicht es ihm, das Unternehmen in einem sich dynamisch verändernden technologischen Umfeld effektiv zu führen. Bei ARDURA Consulting konzentriert er sich auf die Gestaltung der Unternehmensentwicklungsstrategie, den Aufbau starker technischer Teams und die Entwicklung innovativer Dienstleistungen bei der Bereitstellung von IT-Spezialisten und der Erstellung dedizierter Software. Sein Managementansatz basiert auf der Kombination von tiefem Technologieverständnis mit Geschäftsfähigkeiten, was eine effektive Anpassung des Unternehmensangebots an sich ändernde Marktbedürfnisse ermöglicht. Er interessiert sich besonders für digitale Transformation, fortschrittliche Technologieentwicklung in der Softwareproduktion und die Evolution des Staff-Augmentation-Modells. Er konzentriert sich darauf, ARDURA Consulting als vertrauenswürdigen Partner für Unternehmen aufzubauen, die erstklassige IT-Spezialisten und innovative Softwarelösungen suchen. Er engagiert sich aktiv für die Entwicklung einer Organisationskultur, die auf Innovation, Flexibilität und kontinuierlicher Verbesserung basiert. Er glaubt, dass der Schlüssel zum Erfolg in der IT-Branche nicht nur darin besteht, Trends zu folgen, sondern sie aktiv zu gestalten und langfristige Kundenbeziehungen aufzubauen, die auf der Bereitstellung echten Geschäftswerts basieren.

LinkedIn →

Wie koennen wir helfen?

Body Leasing

Erweitern Sie Ihr Team mit geprueften IT-Spezialisten in 2 Wochen

Mehr erfahren →