Top Themen im Datenschutz:
Von der ersten Stellenanzeige bis zum letzten Tag im Unternehmen – wo HR-Abteilungen aufpassen müssen, ein eDSB unterstützen kann, welche Fehler teuer werden und wie Sie den gesamten Mitarbeiterlebenszyklus datenschutzkonform gestalten.
Arbeitsverhältnisse sind Datenverhältnisse. Vom ersten Klick auf eine Stellenanzeige bis zur Archivierung der Personalakte nach Austritt verarbeiten Unternehmen personenbezogene Daten ihrer Beschäftigten in einer Dichte und Tiefe, die kaum ein anderer Verarbeitungskontext erreicht: Bewerbungsunterlagen, Gehaltsdaten, Gesundheitsnachweise, Leistungsbeurteilungen, Zeiterfassungsprotokolle, Zutrittslogs, E-Mail-Verkehr, GPS-Daten von Dienstfahrzeugen, Fotos für Intranet und Website, biometrische Daten bei Zugangssystemen.
Die DSGVO enthält in Art. 88 eine Öffnungsklausel, die den EU-Mitgliedstaaten erlaubt, spezifischere Vorschriften für den Beschäftigungskontext zu erlassen. Deutschland hat davon mit § 26 BDSG Gebrauch gemacht. Deren Kernaussage: Die Verarbeitung von Beschäftigtendaten ist zulässig, wenn sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
Für HR-Abteilungen heißt das: Die allgemeinen DSGVO-Grundsätze gelten uneingeschränkt – werden aber durch ein zusätzliches, konkreteres Regelwerk flankiert. Wer das ignoriert, riskiert nicht nur Bußgelder, sondern auch arbeitsrechtliche Konsequenzen: Beweisverwertungsverbote, unwirksame Kündigungen, Schadensersatzansprüche nach Art. 82 DSGVO.
Legal meets Tech – Einordnung: Der Beschäftigtendatenschutz ist kein optionales Add-on, sondern ein eigenes Regime innerhalb der DSGVO. HR-Abteilungen sind die zentrale Stelle, an der personenbezogene Daten in großem Umfang zusammenlaufen – und damit die Stelle, an der die meisten Fehler passieren.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenDer häufigste Fehler in HR-Abteilungen: Man holt für alles eine Einwilligung ein – zur Sicherheit. Tatsächlich ist die Einwilligung im Beschäftigungskontext die schwierigste und riskanteste Rechtsgrundlage.
Für nahezu alles, was mit dem Arbeitsverhältnis unmittelbar zu tun hat, greift § 26 Abs. 1 BDSG: Die Verarbeitung ist zulässig, soweit sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Erforderlich bedeutet nicht irgendwie nützlich, sondern: Ohne diese Verarbeitung kann der konkrete Zweck nicht erreicht werden.
Daneben tritt Art. 6 Abs. 1 lit. c DSGVO für gesetzliche Pflichten (Lohnsteuer, Sozialversicherung) und Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen), wo die Verarbeitung nicht unmittelbar aus dem Arbeitsverhältnis folgt, aber betrieblich notwendig ist – beispielsweise bei Zutrittskontrollsystemen.
Die Einwilligung nach § 26 Abs. 2 BDSG muss freiwillig, informiert, für einen bestimmten Zweck erteilt und jederzeit widerruflich sein. Im Arbeitsverhältnis besteht ein strukturelles Machtgefälle, das echte Freiwilligkeit regelmäßig infrage stellt.
HR-Praxisregel: Fragen Sie sich bei jeder Einwilligung: Was passiert, wenn die Person nicht unterschreibt – hat sie dadurch einen Nachteil? Wenn ja, ist die Einwilligung mit hoher Wahrscheinlichkeit unwirksam.
Wer Bewerbungen entgegennimmt, muss Bewerbenden vor oder spätestens bei der Datenerhebung einen Datenschutzhinweis nach Art. 13 DSGVO bereitstellen. Beim Active Sourcing liegt die Rechtsgrundlage in Art. 6 Abs. 1 lit. f DSGVO. Bei Nichtreaktion sind die Daten zu löschen. Schattenprofile sind unzulässig.
Nur stellenbezogene Fragen sind zulässig. Fragen nach Schwangerschaft, Religionszugehörigkeit, Gewerkschaftsmitgliedschaft oder sexueller Orientierung betreffen besondere Kategorien nach Art. 9 DSGVO und sind grundsätzlich unzulässig. Die Frage nach Vorstrafen ist nur bei unmittelbarem Bezug zur Tätigkeit gedeckt.
Das Googeln von Bewerbern oder Durchsuchen privater Social-Media-Profile ist in aller Regel unzulässig. Bei beruflichen Netzwerken (LinkedIn, XING) kann es zulässig sein, muss aber verhältnismäßig bleiben und darf kein systematisches Profiling werden.
Sechs Monate nach Abschluss des Bewerbungsverfahrens (AGG-Klagefrist + Sicherheitspuffer). Für Talentpool-Aufbewahrung: separate, freiwillige Einwilligung erforderlich.
Rechtsgrundlage verschiebt sich zur Durchführung des Beschäftigungsverhältnisses. Steuer-ID, SV-Nummer, Bankverbindung, KV-Nachweis sind gedeckt. Private Handynummer oder Passfoto ohne konkreten Zweck nicht.
Intern (Organigramm, Firmenausweis): Art. 6 Abs. 1 lit. f DSGVO. Externe Veröffentlichung: Einwilligung erforderlich, jederzeit widerruflich. Empfehlung: Foto-Register führen.
Art.-13-DSGVO-Informationsblatt für Beschäftigte am ersten Arbeitstag. Bei besonderen Verarbeitungen (Videoüberwachung, Zeiterfassung, GPS-Tracking) gesonderte, verarbeitungsspezifische Hinweise. Die Betroffenenrechte sind transparent zu kommunizieren und aktiv zu gewährleisten.
Need to know ist nicht verhandelbar. Gesundheitsdaten, BEM-Akten, Schwerbehindertendaten haben in der allgemeinen Personalakte nichts verloren – physisch oder logisch getrennt aufbewahren.
Auf § 26 Abs. 1 BDSG stützbar. Aber: Keylogger, permanente Bildschirmaufzeichnung sind regelmäßig unzulässig. Grenze: Überwachungsdruck vs. Menschenwürde (Art. 1 GG).
Pflicht zur systematischen Arbeitszeiterfassung gemäß BAG, Beschluss vom 13.09.2022, 1 ABR 22/21. Biometrische Systeme sind besondere Kategorien nach Art. 9 DSGVO – regelmäßig steht ein milderes Mittel (Chipkarte, PIN) zur Verfügung.
Diagnose geht den Arbeitgeber grundsätzlich nichts an. BEM nach § 167 Abs. 2 SGB IX erfordert separate BEM-Akte – getrennt von der allgemeinen Personalakte.
Private Nutzung erlaubt/geduldet = Arbeitgeber wird faktisch Telekommunikationsanbieter. Empfehlung: Private Nutzung ausdrücklich untersagen oder in IT-Nutzungsrichtlinie detailliert regeln.
Art. 6 Abs. 1 lit. f DSGVO. Speicherdauer 48–72 Stunden. Verdeckte Überwachung nur bei konkretem Straftatverdacht und nach Ausschöpfung milderer Mittel. Bei systematischer Überwachung ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verpflichtend. Detaillierte rechtliche Anforderungen zur Videoüberwachung nach DSGVO finden Sie in unserem gesonderten Leitfaden.
Arbeitgeber bleibt Verantwortlicher. Erforderlich: Homeoffice-Richtlinie, technisch-organisatorische Maßnahmen (TOM) (Verschlüsselung, VPN, MDM), dokumentierte Verpflichtung der Beschäftigten.
Lückenlose Aufenthaltsüberwachung ist regelmäßig unverhältnismäßig. Zulässig bei konkretem betrieblichem Zweck, Transparenz, Deaktivierbarkeit in Pausen, keine permanente Verhaltenskontrolle.
Datenschutzschulungen für verschiedene Abteilungen effizient umsetzen mit den E-Learnings von Cortina Consult.
26 Abs. 1 S. 2 BDSG erlaubt weitergehende Verarbeitungen bei konkretem Verdacht. Voraussetzung: tatsächliche Anhaltspunkte, Verhältnismäßigkeit, kein milderes Mittel. Empfehlung: dokumentiertes Eskalationsverfahren.
Seit HinSchG sind Unternehmen ab 50 Beschäftigten zur internen Meldestelle verpflichtet. Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i.V.m. HinSchG. Mehr zu Anforderungen und Umsetzung im Bereich Hinweisgeberschutz.
In der Due-Diligence-Phase: Beschäftigtendaten nur anonymisiert oder pseudonymisiert an den potenziellen Erwerber weitergeben.
Gesetzliche Aufbewahrungsfristen: Steuerunterlagen 6–10 Jahre, SV-Nachweise 5 Jahre, Arbeitsschutz bis 40 Jahre. Alle übrigen Daten: Löschung mit Übergangsfrist 3–6 Monate. Ein strukturiertes Löschkonzept ist hier unverzichtbar.
Zeugnis: § 26 Abs. 1 BDSG i.V.m. § 109 GewO. Referenzauskünfte nur mit konkreter Einwilligung – pauschale Klausel im Arbeitsvertrag genügt nicht.
Postfach zeitnah sperren, nach Frist löschen. Bei erlaubter Privatnutzung: Herausgabe privater E-Mails vor dem letzten Arbeitstag organisieren.
Der komplette DSGVO-Compliance-Guide kostenfrei als Download: Von der Bedarfsanalyse über die Implementierung bis zur Zertifizierung – mit Schritt-für-Schritt-Anleitung und Compliance-Checkliste.
Betriebsvereinbarungen können eigenständige Rechtsgrundlagen sein, müssen aber Art. 88 Abs. 2 DSGVO und § 26 Abs. 4 BDSG genügen. Der Betriebsrat hat Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG – kluge Arbeitgeber nutzen dies als Chance für gemeinsam erarbeitete, datenschutzkonforme Regelungen.
Cloudbasierte HR-Tools (Personio, Softgarden, DATEV, Sage) sind regelmäßig Auftragsverarbeiter nach Art. 28 DSGVO. Auftragsverarbeitungsvertrag (AVV) abschließen, Drittlandtransfer prüfen (DPF-Zertifizierung, SCC), TOM-Nachweis einfordern.
Schritt 1: Scope und Systematik definieren
Sämtliche Verarbeitungstätigkeiten mit Beschäftigtendaten entlang des gesamten Mitarbeiterlebenszyklus identifizieren und im Verzeichnis der Verarbeitungstätigkeiten (VVT) beschreiben.
Schritt 2: Rechtsgrundlagen harmonisieren
Für jede Tätigkeit die passende Rechtsgrundlage prüfen. Infoblätter, Einwilligungstexte und Betriebsvereinbarungen konsistent aufsetzen.
Schritt 3: Organisatorische Regelungen
Richtlinien zu Personalaktenführung, Bewerbermanagement, IT-/E-Mail-Nutzung, Homeoffice, BYOD, Videoüberwachung, GPS-Tracking, Zeiterfassung, Mitarbeiterfotos, Aufbewahrung und Löschung. HR-spezifisches Datenschutz-Schulungskonzept für Mitarbeitende entwickeln und mit Datenschutz-E-Learnings für HR digitalisieren.
Schritt 4: Technische Maßnahmen
Granulare Rollen-/Rechtekonzepte in allen HR-Systemen. Gesundheitsdaten und BEM-Akten physisch/logisch trennen. Verschlüsselung, Protokollierung, Pseudonymisierung.
Schritt 5: Lösch-/Aufbewahrungskonzept
Differenzierte Fristen: Bewerberdaten 6 Monate, Zeiterfassungsdaten 2 Jahre, Zutrittslogs 3–6 Monate, Videoaufzeichnungen 48–72 Stunden, IT-Protokolldaten 90 Tage.
Schritt 6: Regelmäßig kontrollieren
Mindestens jährliche Überprüfung. DSK-Kurzpapier Nr. 14 als Benchmark für die Prüfung des HR-Datenschutzes. Stichprobenartige Zugriffskontrollen in HR-Systemen.
Der Beschäftigtendatenschutz befindet sich durch die Digitalisierung von HR-Prozessen im kontinuierlichen Wandel. Aktuell besonders relevant: KI-gestützte Bewerbervorauswahl (EU AI Act gilt für Hochrisiko-KI-Systeme in der Personalauswahl ab 2025/2026), biometrische Zeiterfassung, GPS-Tracking sowie die Anforderungen an Auftragsverarbeitungsverträge bei cloudbasierten HR-Tools.
Die folgende Übersicht zeigt die häufigsten Fehler in HR-Prozessen und die korrekte Vorgehensweise im Beschäftigtendatenschutz:
HR-Prozess | Typischer Fehler | Richtige Vorgehensweise |
|---|---|---|
Recruiting | Social-Media-Screening privater Profile, Googeln, fehlende DS-Hinweise. | Nur berufliche Netzwerke. DS-Hinweis vor Datenerhebung. Active-Sourcing-Daten bei Nichtreaktion löschen. |
Gespräch | Fragen nach Familienplanung, Gesundheit, Religion. Pauschales Führungszeugnis. | Nur stellenbezogene Fragen. Interviewleitfaden erstellen. |
Onboarding | Art.-13-Info fehlt. Foto ohne Zweck. Private Handynummer als Pflichtfeld. | Differenziertes Infoblatt. Nur erforderliche Mitarbeiterdaten erheben. |
Personalakte | Gesundheitsdaten in allgemeiner Akte. Kein Zugriffskonzept. | Gesundheits-/BEM-Akte trennen. Need-to-know. Differenziertes Löschkonzept. |
IT-Nutzung | Duldung privater E-Mail ohne Regelung. | Klare IT-Policy. Vertretungsregelungen mit technischer Lösung. |
Überwachung | Videoüberwachung ohne DSFA. GPS ohne Transparenz. Keylogger. | DSFA durchführen. Verhältnismäßigkeit dokumentieren. Betriebsrat beteiligen. |
Offboarding | Personalakte unbefristet. Postfach bleibt aktiv. | Differenziertes Löschkonzept. Postfach sperren. Fotos bei Widerruf entfernen. |
HR-Tools | Kein AVV. Keine Drittlandtransfer-Prüfung. | AVV nach Art. 28 DSGVO. Drittlandtransfer prüfen. TOM-Nachweis dokumentieren. |
Beschäftigtendatenschutz bezeichnet die Gesamtheit aller datenschutzrechtlichen Regelungen bei der Verarbeitung personenbezogener Daten von Arbeitnehmerinnen und Arbeitnehmern im Rahmen des Beschäftigungsverhältnisses. Rechtsgrundlage ist § 26 BDSG i.V.m. der DSGVO. Der Begriff umfasst alle Phasen des HR-Datenschutzes – von der Stellenanzeige bis zur Archivierung der Personalakte nach dem Austritt.
Die zentrale Rechtsgrundlage ist § 26 Abs. 1 BDSG: Datenverarbeitung ist zulässig, soweit sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Ergänzend greifen Art. 6 Abs. 1 lit. b (Vertragserfüllung), lit. c (gesetzliche Pflicht) und lit. f DSGVO (berechtigte Interessen).
Nur Mitarbeiterdaten, die für den konkreten Zweck des Beschäftigungsverhältnisses erforderlich sind (Datensparsamkeit, Art. 5 Abs. 1 lit. c DSGVO). Besondere Kategorien wie Gesundheitsdaten, biometrische Daten oder Gewerkschaftsmitgliedschaft unterliegen den erhöhten Anforderungen nach Art. 9 DSGVO und dürfen nur in Ausnahmefällen verarbeitet werden.
Es gibt keine einheitliche Frist. Steuerunterlagen: 6–10 Jahre (§ 147 AO), SV-Nachweise: 5 Jahre, Arbeitsschutzunterlagen: bis zu 40 Jahre. Alle übrigen Personaldaten sind nach Ende des Beschäftigungsverhältnisses mit einer Übergangsfrist von 3–6 Monaten zu löschen.
Offene Videoüberwachung am Arbeitsplatz ist unter engen Voraussetzungen möglich (Art. 6 Abs. 1 lit. f DSGVO). Bei systematischer Überwachung ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verpflichtend. Verdeckte Überwachung ist nur bei konkretem Straftatverdacht und nach Ausschöpfung milderer Mittel zulässig. Der Betriebsrat hat ein Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG).
Einwilligungen sind im Beschäftigungskontext nur eingeschränkt wirksam. Wegen des strukturellen Machtgefälles zwischen Arbeitgeber und Arbeitnehmer ist die Freiwilligkeit regelmäßig zweifelhaft (§ 26 Abs. 2 BDSG). Faustregel: Wenn Nicht-Unterzeichnung Nachteile bringt, ist die Einwilligung unwirksam.
Ein betrieblicher Datenschutzbeauftragter ist nach § 38 BDSG ab 20 Personen, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, Pflicht. Da Beschäftigtendaten besonders sensibel sind, empfiehlt sich ein externer Datenschutzbeauftragter zur unabhängigen, fachkundigen Beratung.
Nutzen Sie unsere Schulung und lernen Sie, wie Sie in Ihrem HR-Bereich Mitarbeiterdaten sicher und DSGVO-konform verwalten.
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Meetings. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen