Wann darf ein polizeiliches Führungszeugnis von externen Dienstleistern verlangt werden?

Polizeiliche Führungszeugnisse spielen eine zunehmend zentrale Rolle in sicherheitskritischen Bereichen – z. B. bei der Auswahl von IT-Personal mit Zugang zu Rechenzentren. Doch aus datenschutzrechtlicher Sicht ist der Umgang mit diesen Dokumenten heikel. Insbesondere, wenn externe Dienstleister verpflichtet werden sollen, polizeiliche Führungszeugnisse ihrer Beschäftigten zu prüfen oder vorzulegen, stellen sich grundlegende Fragen nach der rechtlichen Zulässigkeit, der Erforderlichkeit sowie der Verhältnismäßigkeit einer solchen Maßnahme. Die datenschutzkonforme Gestaltung solcher Prüfprozesse erfordert daher eine sorgfältige rechtliche und praktische Abwägung.

Führungszeugnisse im Spannungsfeld von Art. 10 DSGVO

Ein zentrales Problem liegt in der Einordnung der im Führungszeugnis enthaltenen Informationen:

Daten über strafrechtliche Verurteilungen und Straftaten unterliegen laut Art. 10 DSGVO besonderen Schutzvorgaben.
Inhalte aus dem polizeilichen Führungszeugnis dürfen nur verarbeitet werden, wenn eine gesetzliche Grundlage besteht oder die Verarbeitung unter behördlicher Aufsicht erfolgt.

Für die Zulässigkeit der Verarbeitung von Daten, die unter Art. 10 DSGVO fallen, besteht danach kein grundsätzliches Verarbeitungsverbot. Die gesetzliche Grundlage richtet sich nach Art. 6 Abs. 1 DSGVO, auch, wenn das Schutzniveau als so hoch wie bei besonderen Kategorien nach Art. 9 DSGVO gesehen wird und deshalb eine ungeschriebene materielle Abwägungsregel einzuhalten ist (vgl. BeckOK DatenschutzR/Bäcker DS-GVO Art. 10 Rn. 13b). Denkbar wäre deshalb eine Verarbeitung auf Basis einer Einwilligung. Ob diese im Beschäftigungsverhältnis aber tatsächlich freiwillig abgegeben werden kann, ist fraglich und individuell zu prüfen. Denn gibt der externe Mitarbeiter seine Einwilligung nicht ab, kann er beim Kunden seines Arbeitgebers nicht eingesetzt werden, was negative Folgen für ihn haben könnte. Demnach wird es schwierig sein, keine Drucksituation für den betroffenen Arbeitnehmer bei der Abgabe der entsprechenden Einwilligung anzunehmen, sodass diese Einwilligung voraussichtlich wegen fehlender Freiwilligkeit unwirksam wäre. Darüber hinaus dürften bei einer Abwägung im Rahmen von Art. 6 Abs. 1 lit. f DSGVO die berechtigten Interessen an der Erhebung der Informationen aus dem polizeilichen Führungszeugnis, aufgrund der hohen Schutzbedürftigkeit des Betroffenen nicht ausreichen. Soweit also keine vertragliche oder gesetzliche Pflicht vorliegt, kann das Unternehmen nicht problemlos die polizeilichen Führungszeugnisse der Mitarbeiter des externen Dienstleisters anfordern. An dieser Stelle ist auch darauf hinzuweisen, dass eine vertragliche Vereinbarung mit dem externen Dienstleister keine adäquate Rechtsgrundlage für die Verarbeitung darstellt, da der Vertragspartner nicht die betroffene Person ist.

Amazon und das 2-Mio.-Euro-Bußgeld

Dass man als Unternehmen vom externen Dienstleister nicht einfach die Vorlage polizeilicher Führungszeugnisse verlangen sollte, wenn es keine gesetzliche Grundlage dafür gibt, sieht man auch anhand des 2-Mio.-Euro-Bußgelds gegen Amazon in Spanien.

Im konkreten Fall hatte Amazon im Rahmen des Bewerbungsprozesses von selbständigen Fahrern verlangt, die als externe Dienstleister zum Einsatz kamen, ein polizeiliches Führungszeugnis ohne Einträge vorzulegen und in einer App hochzuladen. Amazon stütze die Datenverarbeitung auf eine Einwilligung der Fahrer in die Übermittlung und auf das berechtigte Interesse des Unternehmens an der Überprüfung der Fahrer sowie auf die Erforderlichkeit zur Erfüllung des Vertrages mit den Fahrern. Zudem ging Amazon davon aus, dass ein negatives Führungszeugnis nicht unter Art. 10 DSGVO fällt. Die Agencia Española de Protección de Datos (AEPD) war der Auffassung, dass die Verarbeitung aber durchaus unter Art. 10 DSGVO fällt und dieses Vorgehen somit gegen Art. 10 DSGVO verstößt. Sie verhängte ein Bußgeld in Höhe von zwei Mio. Euro gegen Amazon (nachzulesen hier: Etteldorf: Spanien: Bußgeld iHv 2 Mio. EUR gegen Amazon Road Transport Spain, ZD-Aktuell 2022, 01080, abrufbar hier, siehe auch hier).

Verarbeitung der Information „Führungszeugnis lag dem externen Dienstleister eintragungsfrei vor“

Beim Einsatz externer Dienstleister erscheint es aber denkbar, die Angabe zu verlangen, dass durch den externen Dienstleister selbst das Führungszeugnis des betreffenden Mitarbeiters eingesehen wurde und keine für die Dienstleistung relevanten Eintragungen vorliegen. In diesem Fall dürfte diese Datenverarbeitung für das Unternehmen, das den externen Dienstleister einsetzt, nicht unter Art. 10 DSGVO fallen. Die Aussage „Führungszeugnis lag eintragungsfrei oder ohne relevante Eintragungen vor“ dürfte keine Verarbeitung von Daten über Straftaten darstellen. „Sie erlaubt insbesondere keine Differenzierung zwischen verschiedenen Straftaten. Sinn und Zweck von Art. 10 DSGVO ist es, dass Daten über Straftaten nur unter besonderen Schutzvorkehrungen oder unter behördlicher Aufsicht bei Privaten verarbeitet werden.“ (vgl. Schumacher/Sundermann: Datenschutzrechtliche Zulässigkeit der Kontrolle von Führungszeugnissen und Vorstrafen am Beispiel von Franchiseverträgen (ZVertriebsR 2024, S. 3 ff.). An dieser Stelle ist aber darauf hinzuweisen, dass die spanische Aufsichtsbehörde die Information „keine Eintragung vorhanden“ bereits als personenbezogenes Datum im Sinne des Art. 10 DSGVO gesehen hat. Diese Ansicht wird nachfolgend aber nicht vertreten, wobei hier rechtliche Risiken bestehen bleiben.

Für das Unternehmen kann dann Art. 6 Abs. 1 lit. f DSGVO die einschlägige Rechtsgrundlage sein, wenn diese Information erforderlich ist und kein milderes, gleich effektives Mittel zur Erreichung des angestrebten Zwecks vorliegt. Zudem dürfen keine schutzwürdigen Gegeninteressen vorliegen.

Erforderlichkeit

Das Unternehmen muss demnach begründen können, dass die Datenverarbeitung erforderlich ist und kein milderes, gleich effektives Mittel vorliegt. Soweit keine gesetzlichen Vorgaben vorliegen, dürfte die Erforderlichkeit nur damit begründet werden können, wenn vom Beschäftigten eine besondere Zuverlässigkeit verlangt wird und für diese keine andere Nachweismöglichkeit besteht. Dies ist stets im Einzelfall abzuwägen und zu bewerten.

Schutzwürdige Gegeninteressen

Zudem muss die Datenerhebung beim externen Dienstleister selbst datenschutzkonform erfolgt sein, damit das Unternehmen die Verarbeitung nach Art. 6 Abs. 1 lit. f DSGVO datenschutzkonform weiterverarbeiten darf. Andernfalls dürften schutzwürdige Gegeninteressen des Betroffenen vorliegen.

Im Arbeitsverhältnis ist § 26 Abs. 1 S. 1 BDSG bzw. Art. 6 Abs. 1 lit. b DSGVO die einschlägige Rechtsgrundlage. Danach dürfen personenbezogene Daten zum Zweck der Begründung oder Durchführung eines Beschäftigungsverhältnisses verarbeitet werden. Darunter können auch Verarbeitungen von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DSGVO fallen.

Das generelle Merkmal der Erforderlichkeit im Rahmen der Zweckbestimmung von Art. 6 Abs. 1 lit. b DSGVO bzw. § 26 Abs. 1 S. 1 BDSG ist jedoch vor dem Hintergrund des strengen Maßstabs von Art. 10 DSGVO eng auszulegen. Auch hier ist eine Erforderlichkeit nur dann anzunehmen, wenn von dem Arbeitnehmer eine besondere Zuverlässigkeit verlangt wird und für diese keine andere Nachweismöglichkeit besteht. Die Erforderlichkeit beim Kunden und externen Dienstleister dürfte hierbei Hand in Hand gehen. Zudem ist an dieser Stelle darauf hinzuweisen, dass es in der Literatur auch umstritten ist, ob § 26 Abs. 1 S. 1 BDSG überhaupt einschlägig sein kann, da diese Vorschrift nicht konkret auf die Verarbeitung von Straftaten an sich eingeht. § 26 Abs. 1 S. 2 BDSG dürfte jedenfalls nicht relevant sein, da sich dieser an Verarbeitungen zur Aufdeckung von Straftaten richtet.

Kein Führungszeugnis ohne Abwägung

Zusammenfassend lässt sich damit festhalten, dass ein Führungszeugnis nicht pauschal, sondern nur bei Vorliegen einer gesetzlichen Regelung vom externen Dienstleister bzw. dessen Beschäftigten verlangt werden darf.

Den externen Dienstleister zur Einsicht der Führungszeugnisse einfach vertraglich zu verpflichten, ist ebenfalls keine datenschutzkonforme Vorgehensweise, wenn dafür keine Erforderlichkeit vorliegt.

In jedem Fall muss stets im Einzelfall geprüft werden, ob eine ausreichende Rechtsgrundlage und Erforderlichkeit vorhanden sind. Aufgrund der Ansicht der Aufsichtsbehörde Spanien sollte zudem auch eine Risikoabwägung getroffen werden.

Lisa-Maria Körner | 1. Oktober 2025 | Beschäftigtendatenschutz | Amazon, Arbeitgeber, Arbeitnehmer, Art. 10 DSGVO, BDSG, Beschäftigungsverhältnis, Bußgeld, Dienstleister, polizeiliches Führungszeugnis, Rechtsgrundlage, Straftaten, Verarbeitungsverbot