Datenschutz Informationssicherheit KI-Compliance Unternehmens-Compliance

Beschäftigten­datenschutz strukturiert gestalten.

§ 26 BDSG, Betriebsvereinbarungen, Homeoffice und IT-Monitoring. Arbeitnehmerdatenschutz strukturiert umgesetzt.

DSGVO Datenschutz-Audit
§ 26
BDSG: Rechtsgrundlage für Datenverarbeitung im Beschäftigungsverhältnis
§ 4
BDSG: Videoüberwachung öffentlicher Räume
6 Mon.
Typische Aufbewahrungsfrist für Bewerberdaten nach Ablehnung und anschließender Löschpflicht
Überblick

§ 26 BDSG im Beschäftigungs­verhältnis

§ 26 BDSG erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses. Einwilligungen sind im Arbeitsverhältnis wegen des Machtgefälles oft nicht freiwillig. Typische Anwendungsfälle: Zeiterfassung, Homeoffice-Regelungen, IT-Nutzungsüberwachung, Bewerbermanagement, Gesundheitsdaten und Whistleblowing.

Rechtsprechung

EuGH C-34/21: § 26 Abs. 1 S. 1 BDSG als Rechtsgrundlage im Beschäftigungsdatenschutz

Durch das EuGH-Urteil C-34/21 ist in Rechtsprechung und Praxis gefestigt, dass § 26 Abs. 1 S. 1 BDSG die Anforderungen des Art. 88 DSGVO an nationale Öffnungsklauseln nicht erfüllt und als eigenständige Rechtsgrundlage nicht ausreicht. Für die Verarbeitung von Beschäftigtendaten sind daher direkte DSGVO-Rechtsgrundlagen heranzuziehen: Art. 6 Abs. 1 lit. b (Vertragserfüllung) oder lit. f (berechtigtes Interesse). Für sensible Verarbeitungen wie Leistungsüberwachung oder biometrische Daten bleiben Betriebsvereinbarungen das verlässlichste Instrument, da sie als Art. 88-konforme Regelungen wirksam sind. § 26 BDSG kann ergänzend zur Konkretisierung herangezogen werden, ersetzt die DSGVO-Rechtsgrundlage jedoch nicht.

Hintergrund

Das EU-Omnibus-Paket soll das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) als Rechtsgrundlage für den KI-Einsatz im Beschäftigungskontext ausdrücklich absichern. Für Arbeitgeber bedeutet das: KI-Training auf Basis von Beschäftigtendaten sowie KI-gestützte Bewerberauswahl könnten künftig ohne Betriebsvereinbarung oder Einwilligung zulässig sein, sofern eine dokumentierte Interessenabwägung vorliegt. Das ist praktisch relevant, weil nach dem EuGH-Urteil C-34/21 § 26 BDSG als alleinige Grundlage weggefallen ist und Arbeitgeber seither auf unsicherem Terrain agieren. Das Gesetzgebungsverfahren ist noch nicht abgeschlossen. Bis zum Inkrafttreten gilt die aktuelle Rechtslage.

Typische Anwendungsbereiche

  • Zeiterfassung und digitale Arbeitszeitkonten
  • Homeoffice: Erreichbarkeit, Arbeitsplatz-Checks, IT-Ausstattung
  • IT-Nutzung und Zugriffsprotokollierung
  • Bewerbermanagement und Talentpool-Verwaltung
  • Gesundheitsdaten und Betriebliches Eingliederungsmanagement
  • Videoüberwachung am Arbeitsplatz
Leistungen

Was wir für Sie tun.

Rechtsgrundlagenprüfung

  • Analyse aller Verarbeitungen im Beschäftigungsverhältnis
  • Abgrenzung § 26 BDSG / Betriebsvereinbarung / Einwilligung
  • Einbeziehung des Betriebsrats
  • Dokumentation im VVT

Betriebsvereinbarungen

  • Entwurf datenschutzkonformer BVen
  • Prüfung bestehender BVen auf DSGVO/BDSG-Konformität
  • Abstimmung mit Betriebsrat und Rechtsabteilung
  • Themen: IT-Nutzung, Zeiterfassung, Homeoffice

Homeoffice & Mobile Work

  • Homeoffice-Richtlinie datenschutzkonform gestalten
  • Technische Maßnahmen: VPN, Geräteverschlüsselung, BYOD
  • Regelungen zu Erreichbarkeit und Überwachungsverboten
  • Schulung der Mitarbeitenden

Monitoring & Überwachung

  • Rechtliche Grenzen der IT-Überwachung
  • Protokollierungskonzepte und Zweckbindung
  • Vorgaben für E-Mail-Archivierung und Zugriffskontrollen
  • Dokumentation und Mitarbeiterkommunikation
Vorgehen

Unser Vorgehen im Beschäftigten­datenschutz.

01

Bestandsaufnahme

Alle Verarbeitungen im Beschäftigungsverhältnis erfassen.

02

Rechtsgrundlagen

§ 26 BDSG, BV oder Einwilligung: was ist angemessen?

03

Dokumentation

VVT, Richtlinien, Betriebsvereinbarungen erstellen.

04

Umsetzung

Technische Maßnahmen, Schulungen und laufende Pflege.

FAQ

Häufige Fragen zum Beschäftigtendatenschutz nach BDSG.

Verwandte Themen

Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO um spezifische Regeln für die Verarbeitung personenbezogener Daten im Beschäftigungskontext. Es regelt unter anderem Bewerberdaten, Leistungsüberwachung, Videoüberwachung am Arbeitsplatz, Personalakten und betriebliche Mitbestimmung.

Die primäre Rechtsgrundlage ist § 26 BDSG, der die Verarbeitung erlaubt, wenn sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Daneben können Einwilligungen und Betriebsvereinbarungen als Grundlage dienen.

Videoüberwachung am Arbeitsplatz ist nur unter strengen Bedingungen zulässig: Es braucht einen legitimen Zweck, eine Verhältnismäßigkeitsprüfung, eine Betriebsvereinbarung oder Mitbestimmung des Betriebsrats sowie eine klare Beschilderung. Heimliche Überwachung ist grundsätzlich unzulässig.

§ 4 BDSG erlaubt die Videoüberwachung öffentlich zugänglicher Räume durch nicht-öffentliche Stellen. Das Problem: Die DSGVO enthält für diese Regelung keine ausdrückliche Öffnungsklausel, die eine nationale Abweichung vom DSGVO-Regime legitimieren würde. In der Praxis empfiehlt sich daher eine zusätzliche Prüfung auf Basis von Art. 6 Abs. 1 lit. f DSGVO sowie eine dokumentierte Interessenabwägung.

Pauschal lässt sich das nicht beantworten. Anlasslose oder routinemäßige Überwachung ist mangels Rechtsgrundlage in der Regel unzulässig. Anders kann es liegen, wenn ein konkreter Verdacht auf eine Straftat besteht oder wenn betriebliche Interessen überwiegen, etwa weil ein Mitarbeitender längere Zeit abwesend ist und zeitkritische Geschäftsvorgänge in seinem Postfach liegen. In solchen Fällen wird der Zugriff auf dienstliche E-Mails in der Rechtsprechung teilweise als verhältnismäßig angesehen. Wo ein Betriebsrat besteht, ist dieser einzubeziehen. Entscheidend ist stets eine dokumentierte Verhältnismäßigkeitsprüfung und eine klare Rechtsgrundlage.

Bewerberdaten dürfen nur für das Bewerbungsverfahren verarbeitet werden. Nach Abschluss des Verfahrens müssen sie gelöscht werden, typischerweise nach 6 Monaten. Länger dürfen sie nur aufbewahrt werden, wenn eine Einwilligung des Bewerbers vorliegt.

Grundsätzlich dürfen nur Daten verarbeitet werden, die für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sind. Das umfasst etwa Kontaktdaten, Bankverbindung, Qualifikationen und Arbeitszeitdaten, nicht aber Gesundheitsdaten außer bei gesetzlicher Pflicht oder Daten aus der privaten Sphäre. Besonders sensibel ist der Umgang mit Bewerberdaten, Leistungsüberwachung und dem Zugriff auf dienstliche E-Mails.

Beschäftigtendatenschutz - sicher und praxistauglich.

Sprechen Sie uns an. Für Lösungen, die alle überzeugen.

Erstgespräch buchen