Vertiefter Einblick in den deutschen Beschäftigtendatenschutz: § 26 BDSG verstehen

Author

Dr. Thomas Helbing

Date Published

Post-Standardbild

Zusammenfassung

  • § 26 BDSG ist die zentrale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten in Deutschland und verdrängt allgemeine DSGVO-Vorschriften wie Art. 6 Abs. 1 lit. f.
  • Jede Verarbeitung muss einen dreistufigen Erforderlichkeitstest bestehen: Geeignetheit, Erforderlichkeit im engeren Sinne und Angemessenheit.
  • Betriebsvereinbarungen sind eine starke und oft notwendige Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten, da dem Betriebsrat weitreichende Mitbestimmungsrechte zustehen.
  • Eine unrechtmäßige Datenverarbeitung birgt nicht nur das Risiko von DSGVO-Bußgeldern, sondern auch eines Beweisverwertungsverbots vor deutschen Arbeitsgerichten.

1. Europäischer Kontext: Die Öffnungsklausel der DSGVO

Art. 88 DSGVO erlaubt den EU-Mitgliedstaaten, spezifische Regelungen für die Verarbeitung personenbezogener Beschäftigtendaten zu schaffen. Deutschland hat von dieser Möglichkeit Gebrauch gemacht, indem es seine bereits vor der DSGVO geltenden Grundsätze des Beschäftigtendatenschutzes in den heutigen Rechtsrahmen übernommen hat. Folglich wirkt § 26 BDSG als umfassende Rechtsgrundlage, die bei der Verarbeitung von Beschäftigtendaten allgemeine DSGVO-Vorschriften wie Art. 6 Abs. 1 lit. f verdrängt.

2. Das Grundprinzip: Der Erforderlichkeitstest (§ 26 Abs. 1)

Das Fundament des § 26 BDSG ist der Grundsatz der Erforderlichkeit. Eine Verarbeitung ist nur dann rechtmäßig, wenn sie für eine der drei Phasen des Beschäftigungsverhältnisses erforderlich ist:

  1. Begründung des Beschäftigungsverhältnisses (Bewerbung/Einstellung)
  2. Durchführung des Beschäftigungsverhältnisses
  3. Beendigung des Beschäftigungsverhältnisses

Das deutsche Verständnis verlangt das Bestehen dreier Prüfungsstufen:

  1. Geeignetheit: Die Maßnahme muss einen legitimen, vorab festgelegten beschäftigungsbezogenen Zweck erreichen können.
  2. Erforderlichkeit im engeren Sinne: Das Vorgehen muss das mildeste verfügbare Mittel darstellen. Erreicht eine weniger eingriffsintensive Alternative ein gleichwertiges Ergebnis, ist diese zu wählen.
  3. Angemessenheit: Eine umfassende Abwägung der Arbeitgeberinteressen gegen die Grundrechte des Beschäftigten auf Privatsphäre und informationelle Selbstbestimmung.

2.1 Die deutsche Sphärentheorie bei der Interessenabwägung

Die Einordnung der Datensensibilität folgt der Sphärentheorie:

  • Die Intimsphäre: Gedanken, Gesundheitsgeheimnisse, Sexualität. Ein Eingriff ist nahezu immer unzulässig.
  • Die Privatsphäre: Familienleben, Hobbys, außerberufliche Aktivitäten. Ein Eingriff erfordert eine starke Rechtfertigung.
  • Die Sozialsphäre: Berufs- und öffentliches Leben. Eine Verarbeitung ist hier am ehesten zu rechtfertigen.

Beispiel. Der Verdacht einer vorgetäuschten Erkrankung mittels Observation der Wohnung verletzt die Intim- und Privatsphäre (unzulässig). Die Auswertung von Zutrittskontrolldaten zu Anwesenheitsmustern fällt in die Sozialsphäre und ist wahrscheinlich verhältnismäßig.

3. Begründung des Beschäftigungsverhältnisses (Bewerbung)

Bei der Einstellung deckt sich die Erforderlichkeit mit dem Fragerecht des Arbeitgebers. Die Verarbeitung muss strikt auf Daten beschränkt bleiben, die für die Beurteilung der Eignung des Bewerbers für die konkrete Stelle relevant sind.

Zulässig:

  • Anforderung von Führerschein und Unfallhistorie bei Bewerbern für eine Lkw-Fahrertätigkeit
  • Einholung eines Führungszeugnisses für leitende Buchhaltungspositionen mit Zugriff auf Geldmittel (beschränkt auf einschlägige Delikte)
  • Sichtung öffentlich zugänglicher beruflicher Portfolios und Veröffentlichungen

Unzulässig:

  • Fragen nach Familienplanung, sexueller Orientierung oder Religionszugehörigkeit
  • Pauschale Führungszeugnisse für Einstiegspositionen ohne finanzielle Verantwortung
  • Durchsuchung privater Social-Media-Konten zur Bewertung von Lebensstil oder persönlichen Ansichten

Aufbewahrung. Daten abgelehnter Bewerber dürfen typischerweise drei bis sechs Monate aufbewahrt werden, um sich gegen Diskriminierungsansprüche nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) verteidigen zu können. Die Speicherung in einem Talentpool erfordert eine ausdrückliche schriftliche Einwilligung.

4. Durchführung des Beschäftigungsverhältnisses

Dies umfasst den laufenden Betrieb und ist die weiteste Kategorie.

4.1 Leistungs- und Verhaltenskontrolle

Arbeitgeber dürfen die Leistung überwachen, unterliegen dabei aber strengen Grenzen gegenüber einer übermäßigen Kontrolle.

Wesentliche Anforderungen:

  • Keine ständige, allgemeine Überwachung, die einen Überwachungsdruck erzeugt
  • Transparenz ist erforderlich; verdeckte Überwachung nur unter strengen Voraussetzungen der Straftatenaufklärung zulässig
  • Beschäftigte müssen über Art, Umfang und Zweck der Überwachung informiert werden

Zulässig:

  • Tracking-Systeme für Vertriebsteams zur Erfassung von Kennzahlen und Kundeninteraktionen (transparent, nicht mikromanagend)
  • Automatisierte Zeiterfassungssysteme für die Arbeitszeit
  • Stichprobenartige, angekündigte Taschenkontrollen im Einzelhandel auf Grundlage einer klaren Richtlinie oder Betriebsvereinbarung

Unzulässig:

  • Keylogger, die jeden Tastenanschlag aufzeichnen (vom Bundesarbeitsgericht für unzulässig erklärt)
  • Rund-um-die-Uhr-GPS-Ortung von Außendienstmitarbeitern, einschließlich der Freizeit
  • Ständige, ununterbrochene Videoüberwachung des Arbeitsplatzes

4.2 IT-Systeme: E-Mail- und Internetnutzung

Die Zulässigkeit der Überwachung hängt vollständig von der betrieblichen Regelung zur Privatnutzung ab:

  • Strikt verbotene Privatnutzung: Ist die Privatnutzung klar untersagt und wird dies auch durchgesetzt, ist eine allgemeine dienstliche Kontrolle zulässig, wobei der Verhältnismäßigkeitsgrundsatz gilt.
  • Erlaubte/geduldete Privatnutzung: Schafft komplexe Rechtslagen. Der Arbeitgeber kann als Telekommunikationsanbieter im Sinne des Telekommunikationsgesetzes (TKG) gelten, wodurch eine Inhaltskontrolle potenziell unzulässig wird.

Empfehlung. Führen Sie eine formelle Richtlinie ein, die die Privatnutzung der Kommunikationssysteme vollständig untersagt. Alternativ schaffen Sie eine Betriebsvereinbarung, die die Bedingungen der Überwachung präzise festlegt, oder machen Sie die Privatnutzung von einer datenschutzrechtlichen Einwilligung abhängig.

5. Aufdeckung von Straftaten (§ 26 Abs. 1 Satz 2)

Diese Vorschrift bietet eine enge, eigenständige Rechtsgrundlage zur Aufklärung von Verdachtsfällen einer Straftat. Sie erfasst repressive, nicht präventive Maßnahmen.

Strenge Voraussetzungen:

  1. Tatsächlicher, dokumentierter Verdacht: Konkrete, dokumentierte Anhaltspunkte, die auf bestimmte Beschäftigte als Täter einer Straftat hindeuten. Vermutungen oder unbelegte Hinweise genügen nicht.
  2. Verhältnismäßigkeit und letztes Mittel: Die Ermittlungsmaßnahmen müssen verhältnismäßig und die ultima ratio nach Ausschöpfung weniger eingriffsintensiver Alternativen sein.
  3. Kein überwiegendes Interesse des Beschäftigten: Die Privatsphäre des Beschäftigten ist gegen das Aufklärungsinteresse des Arbeitgebers abzuwägen.

Beispiel. Eine Prüfung deckt manipulierte Transaktionen auf; Systemprotokolle zeigen, dass nur ein Beschäftigter Zugriffsrechte hatte und während der Änderungen angemeldet war. Dies begründet einen tatsächlichen Verdacht. Die Durchsicht der dienstlichen E-Mails dieses Beschäftigten aus dem maßgeblichen Zeitraum könnte als letztes Mittel gerechtfertigt sein. Die Durchsicht der E-Mails einer gesamten Abteilung auf Grundlage von Gerüchten über „Illoyalität" wäre unzulässig.

6. Einwilligung im Beschäftigungsverhältnis (§ 26 Abs. 2)

Während die DSGVO eine Einwilligung im Beschäftigungsverhältnis wegen des Machtgefälles skeptisch betrachtet, lässt § 26 BDSG sie unter engen Voraussetzungen zu.

Voraussetzungen einer wirksamen Einwilligung:

  • Echte Freiwilligkeit: Der Beschäftigte hat eine echte Wahl, ohne bei einer Verweigerung Nachteile zu erleiden.
  • Rechtlicher oder wirtschaftlicher Vorteil: Freiwilligkeit wird vermutet, wenn die Verarbeitung dem Beschäftigten einen klaren Vorteil verschafft (z. B. private Fahrten mit einem Dienstwagen, die Standortdaten erfordern).
  • Gleichgelagerte Interessen: Freiwilligkeit liegt vor, wenn Arbeitgeber und Beschäftigter ein gemeinsames Ziel verfolgen (z. B. GPS-gestützte Sicherheitsortung bei Alleinarbeitern).
  • Schriftformerfordernis: § 26 BDSG verlangt die Einwilligung in schriftlicher oder elektronischer Form — strenger als die Flexibilität der DSGVO. Eine mündliche Einwilligung genügt nicht.
  • Informiert und spezifisch: Der Beschäftigte muss in Textform über den Verarbeitungszweck und das Recht informiert werden, die Einwilligung jederzeit zu widerrufen.

Beispiel. Eine Marketingbroschüre, die einen Beschäftigten abbildet, erfordert eine schriftliche Einwilligung, die die genaue Verwendung erläutert, samt einer dokumentierten Zusicherung, dass eine Verweigerung keine arbeitsrechtlichen Konsequenzen hat.

7. Die Kraft kollektiver Vereinbarungen (§ 26 Abs. 4)

Das deutsche Mitbestimmungssystem stellt für internationale Fachleute einen Paradigmenwechsel dar. Eine Betriebsvereinbarung ist nicht bloß eine Richtliniendokumentation, sondern ein rechtlich bindendes Instrument, das eine ansonsten schwer zu rechtfertigende Datenverarbeitung legitimieren kann.

7.1 Die Grundlage: Betriebsrat und Mitbestimmungsrechte

In deutschen Unternehmen mit typischerweise fünf oder mehr ständigen Beschäftigten können die Beschäftigten einen Betriebsrat wählen — eine unabhängige Vertretung der Belegschaftsinteressen, keine Gewerkschaft. Seine Rechte leiten sich aus dem Betriebsverfassungsgesetz (BetrVG) ab.

Der Betriebsrat besitzt Mitbestimmungsrechte — keine bloßen Anhörungsrechte, sondern eine gleichberechtigte gemeinsame Entscheidungsbefugnis. In bestimmten Bereichen kann der Arbeitgeber nicht einseitig handeln. Meinungsverschiedenheiten werden durch verbindliche Entscheidungen der Einigungsstelle beigelegt.

Das stärkste Recht im Datenschutzkontext ist § 87 Abs. 1 Nr. 6 BetrVG, der ein Mitbestimmungsrecht bei „der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen", gewährt.

Die Schwelle für eine „technische Einrichtung" ist äußerst niedrig. Bereits die bloße Eignung eines Systems zur Erzeugung von Überwachungsdaten löst dieses Recht aus.

Systeme, die das Mitbestimmungsrecht auslösen:

  • Personalinformationssysteme (Workday, SAP SuccessFactors, Personio)
  • Customer-Relationship-Management-Tools (Salesforce)
  • Elektronische Zutrittskontrollsysteme
  • Moderne Kollaborationssuiten (Microsoft 365 mit Produktivitätsanalysen)
  • Flottenmanagementsysteme mit GPS-Ortung
  • Interne Ticketsysteme

Im Ergebnis löst nahezu jede moderne Arbeitsplatzsoftware Mitbestimmungsrechte des Betriebsrats aus. Arbeitgeber können solche Systeme ohne Zustimmung des Betriebsrats nicht rechtmäßig einführen.

7.2 Die Betriebsvereinbarung als Rechtsgrundlage der Datenverarbeitung

§ 26 Abs. 4 BDSG erkennt in Verbindung mit Art. 88 DSGVO Betriebsvereinbarungen ausdrücklich als wirksame Rechtsgrundlagen für die Verarbeitung von Beschäftigtendaten an. Praktische Vorteile sind:

  1. Ersetzt die individuelle Einwilligung: Die Einholung wirksamer Einzeleinwilligungen von ganzen Belegschaften ist verwaltungsaufwendig und rechtlich heikel. Betriebsvereinbarungen bieten eine einheitliche, kollektive, robuste Grundlage.
  2. Schafft Rechtssicherheit: Gut ausgearbeitete Vereinbarungen schaffen klare, transparente, rechtlich verteidigungsfähige Verarbeitungsrahmen und reduzieren Compliance-Risiken erheblich.
  3. Stärkt Legitimität und Vertrauen: Die Verhandlung mit gewählten Arbeitnehmervertretern fördert eine höhere Akzeptanz und größeres Vertrauen in der Belegschaft.

7.3 Der Inhalt einer Datenschutz-Betriebsvereinbarung: Eine detaillierte Checkliste

Umfassende Betriebsvereinbarungen gehen weit über einfache Genehmigungen hinaus und funktionieren als detailliertes Datenschutz-Regelwerk. Zu erwartende Verhandlungsgegenstände sind:

  • Präambel und Geltungsbereich: Definiert die erfassten Beschäftigten, Standorte und konkreten IT-Systeme oder Module.
  • Zweckbindung: Listet abschließend jeden legitimen Verarbeitungszweck auf und benennt ausdrücklich untersagte Verwendungen. Beispiel: „Zutrittskontrolldaten dürfen zur Sicherheit und Zeiterfassung verwendet werden, nicht jedoch zur allgemeinen Leistungsanalyse."
  • Datenkategorien: Präzise Auflistung der personenbezogenen Datenfelder zur Durchsetzung der Datenminimierung. Betriebsräte hinterfragen häufig die Erforderlichkeit der Datenerhebung.
  • Zugriffsrechte und Berechtigungskonzept: Detaillierte Matrizen, die festlegen, welche Rollen auf welche Datenkategorien mit welchen Rechten (Lesen, Schreiben, Löschen) zugreifen, und so das Need-to-know-Prinzip operationalisieren.
  • Leistungs- und Verhaltenskontrolle: Adressiert unmittelbar die Auslöser des § 87 Abs. 1 Nr. 6. Legt zulässige Auswertungen und Analysen fest und untersagt andere. Beispiel: aggregierte Berichte zulässig, individuelle Rankings der Beschäftigten untersagt.
  • Aufbewahrungs- und Löschkonzept: Legt präzise Aufbewahrungsfristen für verschiedene Datenkategorien fest und schafft so rechtlich bindende Löschpläne.
  • Internationale Datenübermittlung: Bei globalen Systemen werden die Bedingungen internationaler Übermittlungen, die Umsetzung von Standardvertragsklauseln (SCC) und die Ergebnisse einer Transfer Impact Assessment festgelegt.
  • Betroffenenrechte: Legt die Prozesse zur Ausübung der Auskunfts-, Berichtigungs- und Löschungsrechte fest, oft mit konkreten Ansprechpartnern und Reaktionsfristen.
  • Information und Schulung: Kann Pflichten des Arbeitgebers zur Information der Beschäftigten über das System und zur Bereitstellung angemessener Schulungen enthalten.
  • Rechte des Betriebsrats: Enthält Regelungen zur Kontrolle der Systemkonformität durch den Betriebsrat, oft mit Unterstützung unabhängiger Sachverständiger.

7.4 Der Regelungsspielraum: Darf eine Betriebsvereinbarung von der DSGVO abweichen?

Zwar erlaubt Art. 88 DSGVO „spezifischere Vorschriften", doch Betriebsvereinbarungen dürfen das Schutzniveau der DSGVO nicht absenken. Sie können keine Auskunftsrechte abschaffen, keine zwecklose Verarbeitung zulassen und keine unbegrenzte Aufbewahrung erlauben.

Betriebsvereinbarungen spezifizieren, konkretisieren und operationalisieren die DSGVO-Grundsätze innerhalb des konkreten Unternehmenskontexts.

Beispiel:

  • DSGVO-Grundsatz: Daten werden nicht länger als für die Verarbeitungszwecke erforderlich aufbewahrt (abstrakt)
  • Konkretisierung in der Betriebsvereinbarung: „Daten erfolgloser Bewerber außerhalb von Führungspositionen werden automatisch sechs Monate nach der Absage gelöscht"

7.5 Strategische Implikationen für internationale Unternehmen

  • Frühzeitig und stets einbinden: Bei Projekten mit neuer, beschäftigtenrelevanter Software in Deutschland sind Betriebsräte von Projektbeginn an zentrale Stakeholder.
  • Zeit einplanen: Verhandlungen können mehrere Monate dauern. Internationale Rollout-Pläne müssen diesen Zeitrahmen berücksichtigen.
  • Zusammenarbeiten, nicht diktieren: Verhandlungen sollten als Partnerschaft zur Findung beiderseits akzeptabler, rechtskonformer Lösungen verstanden werden. Konfrontative Ansätze führen zu Verzögerungen, Einigungsstellenverfahren und schlechten Ergebnissen. Die Ziele des Betriebsrats decken sich mit den DSGVO-Grundsätzen.
  • In Rahmenvereinbarungen investieren: Häufig innovierende Unternehmen sollten Rahmenbetriebsvereinbarungen verhandeln, die allgemeine Datenschutzgrundsätze festlegen und nachfolgende spezifische Vereinbarungen vereinfachen.

Betriebsvereinbarungen stellen den zentralen Mechanismus dar, um eine rechtmäßige, nachhaltige Verarbeitung von Beschäftigtendaten in Deutschland zu erreichen. Für internationale Fachleute ist die Beherrschung der Mitbestimmungsdynamik ebenso wichtig wie das Verständnis der DSGVO.

8. Rechtsfolgen: Das wirkmächtige Beweisverwertungsverbot

Über DSGVO-Bußgelder hinaus birgt eine unrechtmäßige Datenverarbeitung in Deutschland das Risiko eines Beweisverwertungsverbots.

Kündigt ein Arbeitgeber Beschäftigten auf Grundlage von Beweisen, die unter Verstoß gegen § 26 BDSG erlangt wurden (z. B. rechtswidrige verdeckte Kameraaufnahmen), können deutsche Arbeitsgerichte den Beweis für unverwertbar erklären. Die Gerichte wägen die Schwere des Privatsphäreverstoßes gegen das Beweisinteresse des Arbeitgebers ab. Schwere Verstöße können zum Ausschluss des Beweises führen, sodass der Arbeitgeber trotz tatsächlichen Fehlverhaltens des Beschäftigten unterliegt. Der Grundsatz „Datenschutz ist kein Tatenschutz" bedeutet, dass Persönlichkeitsrechte schuldige Personen nicht automatisch schützen. Das Ergebnis hängt von einer Abwägung im Einzelfall ab.

9. Fazit: Die wichtigsten Erkenntnisse für internationale Fachleute

  1. § 26 BDSG ist vorrangig: Für die Verarbeitung von Beschäftigtendaten in Deutschland ist § 26 BDSG die primäre Rechtsgrundlage, nicht die allgemeinen Vorschriften des Art. 6 DSGVO.
  2. Den Erforderlichkeitstest beherrschen: Jede Verarbeitung erfordert eine sorgfältige Rechtfertigung über den dreistufigen Test aus Geeignetheit, Erforderlichkeit und Angemessenheit, mit besonderem Gewicht auf den Persönlichkeitsrechten der Beschäftigten.
  3. Vorsicht bei der Überwachung: Deutschland hat eine sehr geringe Toleranz gegenüber Überwachung. Transparenz ist entscheidend; Überwachung muss minimal und zweckgebunden sein.
  4. Einwilligung mit größter Sorgfalt behandeln: Sich auf eine Einwilligung zu stützen, ist riskant. Wird sie verwendet, sind hohe Anforderungen an die Freiwilligkeit und das Schriftformerfordernis sicherzustellen.
  5. Den Betriebsrat einbinden: Existiert ein Betriebsrat, ist er ein entscheidender Partner und Stakeholder. Betriebsvereinbarungen sind wirkmächtige, oft notwendige Instrumente zur Schaffung von Rechtsgrundlagen der Datenverarbeitung.
  6. Die Konsequenzen verstehen: Das Risiko der Beweisunverwertbarkeit ist ein erhebliches, einzigartig wirkmächtiges deutsches Abschreckungsmittel gegen Datenschutzverstöße.

Über den Autor

Über den Autor

Dieser Blogbeitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Newsletter

  • Over 5,000 satisfied subscribers
  • Tools, templates, checklists and explanations on data protection and IT law.
  • Unsubscribe anytime.