Was ist Beschäftigtendatenschutz?

Der Schutz personenbezogener Daten von Beschäftigten ist ein zentraler Bestandteil des Datenschutzrechts und gewinnt in Zeiten digitalisierter Arbeitsprozesse, hybrider Arbeitsmodelle und zunehmender IT-Überwachung stetig an Bedeutung. Besonders in öffentlichen Einrichtungen steht der Beschäftigtendatenschutz im Spannungsfeld zwischen gesetzlicher Rechenschaftspflicht, organisatorischer Effizienz und dem Schutz der Persönlichkeitsrechte von Mitarbeitenden.

Der Beschäftigtendatenschutz regelt, welche personenbezogenen Daten von Beschäftigten erhoben, verarbeitet und gespeichert werden dürfen, unter welchen Bedingungen dies zulässig ist und welche Rechte den Betroffenen zustehen. Er betrifft nicht nur aktive Mitarbeitende, sondern auch Bewerberinnen und Bewerber, ehemalige Beschäftigte sowie Praktikant:innen und Referendar:innen. Damit also den gesamten Lebenszyklus eines Beschäftigungsverhältnisses.

Rechtlicher Rahmen: DSGVO und BDSG im öffentlichen Dienst

Die europäische Datenschutz-Grundverordnung (DSGVO) bildet den übergeordneten Rechtsrahmen für die Verarbeitung personenbezogener Daten in der EU. Für den Beschäftigtendatenschutz ist insbesondere Art. 88 DSGVO relevant. Dieser erlaubt den Mitgliedstaaten, spezifischere Vorschriften zur Verarbeitung von Beschäftigtendaten zu erlassen.

§ 26 BDSG – Die zentrale Vorschrift

In Deutschland ist diese Öffnungsklausel im § 26 Bundesdatenschutzgesetz (BDSG) umgesetzt. Die Norm regelt die Datenverarbeitung im Beschäftigungskontext und gilt für öffentliche wie private Arbeitgeber gleichermaßen. Öffentliche Stellen des Bundes und der Länder (wie Behörden, Schulen oder kommunale Einrichtungen) sind damit direkt adressiert.

Laut § 26 Abs. 1 BDSG dürfen personenbezogene Daten verarbeitet werden, wenn dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Erlaubt ist dies nur im Rahmen der Zweckbindung und Verhältnismäßigkeit. Besondere Kategorien personenbezogener Daten, wie etwa Gesundheitsdaten nach Art. 9 DSGVO, unterliegen zusätzlichen Schutzanforderungen und dürfen nur in engen Ausnahmefällen verarbeitet werden (z. B. zur Erfüllung arbeitsrechtlicher Pflichten oder mit ausdrücklicher Einwilligung).

Einwilligung im Beschäftigungsverhältnis – problematisch?

Ein häufiger Irrtum betrifft die Einwilligung von Beschäftigten. Diese gilt laut DSGVO nur dann als wirksam, wenn sie freiwillig erfolgt. Aufgrund des hierarchischen Machtgefälles im Arbeitsverhältnis bestehen jedoch erhebliche Zweifel an der Freiwilligkeit, sodass Einwilligungen im Beschäftigungskontext kritisch zu prüfen sind.

Datenschutz-Folgenabschätzung (DSFA) und Risikomanagement

Die Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO ist ein zentrales Instrument im Beschäftigtendatenschutz, wenn eine Datenverarbeitung mit voraussichtlich hohem Risiko für die Rechte und Freiheiten der betroffenen Personen verbunden ist. Beispiele:

• Einführung neuer Zeiterfassungssysteme mit biometrischen Daten,

• systematische Überwachung von IT-Nutzung,

• umfassende Gesundheitsabfragen bei Bewerbungen.

Öffentliche Einrichtungen sind verpflichtet, vorab zu prüfen, ob eine DSFA notwendig ist, diese ordnungsgemäß zu dokumentieren und gegebenenfalls den Datenschutzbeauftragten oder sogar die Aufsichtsbehörde einzubeziehen.

Ein effektives Datenschutz-Risikomanagement geht über die Einzelmaßnahme hinaus: Es umfasst regelmäßige Risikoanalysen, Bewertungen technischer und organisatorischer Maßnahmen (TOMs) sowie ein strukturiertes Vorgehen zur Vermeidung und Reduktion von Risiken, etwa durch Pseudonymisierung, Zugriffsmanagement oder Löschkonzepte.

Praxisfragen aus dem Beschäftigtendatenschutz

Im Alltag öffentlicher Einrichtungen stellen sich zahlreiche praktische Fragen, bei denen datenschutzrechtliche Aspekte zu beachten sind. Nachfolgend eine Auswahl typischer Szenarien:

1. Umgang mit Gesundheitsdaten und Krankmeldungen

1. 1. • Zulässig: Die Information, dass jemand krank ist.

      • Nicht zulässig ohne besondere Grundlage: Diagnose oder Details zur Erkrankung, es sei denn, eine arbeitsrechtliche Pflicht erfordert dies (z. B. im Arbeitsschutz).

      • Tipp: Krankmeldungen sollten getrennt von der Personalakte aufbewahrt und nur autorisierten Personen zugänglich sein.

2. IT-Überweachung am Arbeitsplatz

1. 1. • Grundsatz: Permanente oder verdeckte Überwachung (z. B. E-Mail- oder Internetnutzung) ist nur unter engen Voraussetzungen zulässig.

      • Erforderlich: Klare Nutzungsrichtlinien, Information der Mitarbeitenden, Verhältnismäßigkeit.

      • DSFA-Pflichtig: Wenn die Überwachung umfangreich ist oder automatisiert erfolgt.

3. Bewerbungsverfahren

1. 1. • Zulässig: Verarbeitung von Bewerbungsdaten zur Durchführung des Auswahlverfahrens.

      • Löschungspflicht: Daten von nicht berücksichtigten Bewerber:innen müssen spätestens sechs Monate nach Abschluss des Verfahrens gelöscht werden, sofern keine Rechtsstreitigkeiten absehbar sind.

      • Vorsicht: Weitergabe von Bewerbungen an andere Abteilungen oder Pooling nur mit ausdrücklicher Einwilligung.

Fazit

Beschäftigtendatenschutz ist kein reines „Compliance-Thema“, sondern ein zentraler Bestandteil moderner Personalverwaltung und Organisationskultur. Besonders im öffentlichen Dienst gilt es, den gesetzlichen Anforderungen der DSGVO und des BDSG gerecht zu werden. Gleichzeitig müssen die berechtigten Interessen und Rechte der Beschäftigten gewahrt werden.

Ein systematischer Umgang mit datenschutzrelevanten Prozessen, die frühzeitige Einbindung des Datenschutzbeauftragten und die konsequente Anwendung von Risikomanagement- und Folgenabschätzungsinstrumenten sind dabei unerlässlich. Die in diesem Artikel aufgeführten Praxisfragen bieten einen Einstieg in die typischen Herausforderungen, und zeigen, dass Beschäftigtendatenschutz sowohl rechtlich als auch praktisch gestaltbar ist.

08. – 09. September 2025, digital

• Beschäftigtendatenschutz Rechtsgrundlagen des Art. 6 Abs. 1b, f DSGVO
• Datenschutzfolgenabschätzung und Risikomanagement

Mehr erfahren >