In diesem Beitrag
Text Link
Text Link
Text Link
Beitrag teilen

Discover
HOME
/
blog
/
Arbeitnehmerdatenschutz: Grundlagen, Rechte und heikle Verarbeitungen

Arbeitnehmerdatenschutz: Grundlagen, Rechte und heikle Verarbeitungen

Daniel Lösch

Senior Privacy Expert & Product Owner

December 11, 2025

10 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

Die Verarbeitung persönlicher Daten von Arbeitnehmern erfordert eine rechtliche Grundlage gemäß § 26 BDSG.

Die Zustimmung des Arbeitnehmers kann die Zulässigkeit für die Datenverarbeitung bieten, jedoch muss diese Zustimmung freiwillig und aufgeklärt sein.

Arbeitgeber müssen ihre Mitarbeiter über die Verarbeitung ihrer persönlichen Daten informieren.

Heikle Bereiche wie Videoüberwachung, Mitarbeiterortung und private Nutzung von Geschäftsemails erfordern besondere Datenschutzmaßnahmen.

Was ist eigentlich der Arbeitnehmerdatenschutz?

In diesem Artikel lesen Sie:

  • wie der Arbeitnehmerdatenschutz definiert ist
  • welche rechtlichen Grundlagen dem Arbeitnehmerdatenschutz zugrunde liegen
  • welche datenschutzrechtlichen Pflichten in einem Arbeitsverhältnis gelten
  • welche goldene Regel im Arbeitnehmerdatenschutz gilt

Werden personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet, befinden wir uns in einem sehr spezifischen rechtlichen Verhältnis. In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz oder Beschäftigtendatenschutz.

Ein eigenständiges Gesetz wie etwa ein „Arbeitnehmerdatenschutzgesetz“, welches arbeitnehmerdatenschutzrechtliche Spezifika regelt, gibt es jedoch nicht. Vielmehr ergeben sich die datenschutzrechtlichen Regelungen für das Arbeitsverhältnis aus den allgemeinen Bestimmungen der DSGVO und des BDSG (Bundesdatenschutzgesetz) und werden durch verschiedene weitere – häufig nationale – Gesetze ergänzt.

Arbeitnehmerdatenschutz: Rechtliche Grundlagen für die Verarbeitung

Wie in jedem Bereich des Datenschutzes, so gilt auch beim Arbeitnehmerdatenschutz, dass wenn personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet werden, wir uns in einem sehr spezifischen rechtlichen Verhältnis befinden.

In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz und es bedarf einer rechtlichen Grundlage für die Verarbeitung personenbezogener Daten. Über die bereichsspezifische Öffnungsklausel des Art. 88 DSGVO gelangt man zu § 26 BDSG, einer sehr wichtigen Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen von Arbeitsverhältnissen.

Dem Grundsatz nach darf der Arbeitgeber personenbezogene Daten der Arbeitnehmer verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist (§ 26 Abs. 1 S. 1 BDSG).

  • Eine Datenverarbeitung für die Begründung des Beschäftigungsverhältnisses liegt etwa dann vor, wenn personenbezogene Daten, beispielsweise aus der Bewerbungsmappe, für die Durchführung eines Bewerbungsverfahrens verarbeitet werden. Hierbei ist darauf zu achten, dass nur eine Verarbeitung solcher Daten erfolgt, die für das Arbeitsverhältnis erforderlich sind. Eine Frage bezüglich einer möglichen Schwangerschaft wäre demnach etwa unzulässig. Ferner sollte stets eine Direkterhebung der erforderlichen Daten beim Bewerber vorgenommen werden und nicht aus einer dritten Quelle.

  • Eine Datenverarbeitung für die Durchführung des Beschäftigungsverhältnisses ist beispielsweise die Führung von Personalakten, das Verfassen von Arbeitsplänen oder auch die Durchführung von Arbeitssicherheitsmaßnahmen. Insbesondere bei der Führung von Personalakten ist darauf zu achten, dass keine unzulässige Vorratsdatenspeicherung stattfindet, sondern hier nur solche Daten abgelegt werden, die richtig und nicht leistungsfremd sind. Im Beschäftigungsverhältnis können dann auch besonders sensible Daten (Art. 9 DSGVO), wie Angaben über eine Schwangerschaft, verarbeitet werden, jedoch nur mit dem Zweck, den Verpflichtungen gemäß dem Mutterschutzgesetz nachzukommen.
  • Eine Datenverarbeitung für/nach Beendigung des Beschäftigungsverhältnisses liegt beispielsweise vor, wenn der Arbeitgeber eine Sozialauswahl gemäß § 1 KSchG treffen musste.

Neben der Erforderlichkeit der Datenverarbeitung für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses kann sich die Zulässigkeit einer Verarbeitung von personenbezogenen Daten auch aus der Einwilligung des Arbeitnehmers ergeben. Hierbei ist neben der Widerruflichkeit insbesondere auch auf die Umstände der Einwilligung zu achten.

Goldene Regel für den Arbeitnehmerdatenschutz

Der Arbeitnehmer muss über die Datenverarbeitung aufgeklärt/informiert sein.

Zudem muss die Einwilligung freiwillig erfolgen. An das Kriterium der Freiwilligkeit werden besondere Anforderungen gestellt, da grundsätzlich von einer gewissen „Über-/Unterordnung“ im Beschäftigungsverhältnis ausgegangen wird. Es ist daher stets eine Einzelfallbetrachtung erforderlich, bei der die konkreten Umstände sowie Vor- und Nachteile, die sich für den Arbeitnehmer aus der Verarbeitung seiner personenbezogenen Daten ergeben könnten, mit einbezogen werden.

Allgemeine datenschutzrechtliche Pflichten im Arbeitsverhältnis

Darüber hinaus sind, wie bereits eingangs erwähnt, die allgemeinen datenschutzrechtlichen Pflichten für den Verantwortlichen zu beachten.

So ist etwa nicht nur eine Datenschutzerklärung auf der Website erforderlich, um die Webseitenbesucher über die Verarbeitung ihrer personenbezogenen Daten auf der Website zu informieren, sondern vielmehr müssen auch die Beschäftigten über die Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext informiert werden. Hierbei gelten die Art. 13 ff. DSGVO.

Das bedeutet, dass der Arbeitgeber den Arbeitnehmer etwa darüber zu informieren hat, an welche Dritte (Art. 4 Nr. 10 DSGVO) seine Daten weitergegeben werden, wie lange eine Speicherung etwa in Systemen erfolgt und ob hierbei eine Übermittlung von personenbezogenen Daten in Drittländer (nicht EU oder EWR) stattfindet.

Arbeitnehmerdatenschutz: Das raten unsere Experten

Tipp: Grundsätzlich sollten Einwilligungen schriftlich festgehalten werden, um etwaigen Nachweispflichten nachkommen zu können. Das Gesetz verlangt in § 26 Abs. 2 S. 3 BDSG explizit die Einholung der Einwilligung in schriftlicher oder elektronischer Form, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Zuletzt ist eine Datenverarbeitung im Beschäftigungsverhältnis auf Grundlage von Kollektivvereinbarungen möglich, § 26 Abs. 4 S. 2 BDSG. Hierbei sind die Grundsätze der Verarbeitung gem. Art. 5 DSGVO zu wahren. Diese lauten: Rechtmäßigkeit der Verarbeitung, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.

3 heikle Verarbeitungen im Arbeitnehmerdatenschutz

Hier müssen Sie aufpassen: Im Beschäftigungsverhältnis gibt es typische Verarbeitungen von personenbezogenen Daten, auf deren Datenschutzkonformität ein Unternehmen besonders achten sollte.

Im Folgende einige Beispiele:

  • Videoüberwachung am Werksgelände: Bei einer Videoüberwachung am Werksgelände wird in das Recht am eigenen Bild eingegriffen. Daher gilt, dass eine permanente Überwachung der Mitarbeiter bei der Arbeit grundsätzlich nicht zulässig ist. Gleiches gilt auch für die heimliche Überwachung. Achten Sie daher, wenn eine Videoüberwachung am Werksgelände erforderlich ist, darauf, dass entsprechende Hinweisschilder angebracht sind, Sie nur gezielte und zulässige Bereiche überwachen und die Aufnahmen auch entsprechend gelöscht werden. (Achtung: geringe Speicherdauer) Außerdem ist in der Regel die vorherige Durchführung einer Datenschutz-Folgenabschätzung erforderlich.

  • Ortung von Beschäftigten: Auch die mögliche Ortung/Überwachung von Beschäftigten via GPS ist nur unter engen Voraussetzungen möglich (lesen Sie hierzu gerne unseren Artikel „Ist die umfassende GPS-Überwachung von Beschäftigten DSGVO-konform?“)

  • Private Nutzung der geschäftlichen E-Mail-Adresse: Obwohl fast jeder Arbeitnehmer über einen privaten E-Mail-Account verfügt, erlauben oder dulden noch immer Arbeitgeber die private Nutzung der geschäftlichen E-Mail-Accounts durch den Arbeitnehmer. Aus datenschutz- aber auch arbeitsrechtlicher Sicht ist hiervon dringend abzuraten. In der Praxis ergeben sich hieraus häufig rechtliche Probleme, wie etwa hinsichtlich des Umgangs mit dem Postfach eines ausgeschiedenen Mitarbeiters.

Arbeitnehmerdatenschutz: Oft ist professioneller Rat gefragt

Zahlreiche Fallstricke erwarten Arbeitgeber im Bereich des Datenschutzes. SECJUR unterstützt Sie hier gerne mit großer Expertise und der gehörigen Portion Pragmatismus.

Mehr erfahren
Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

November 21, 2025
5 Minuten
ISO 27001 A.5.7: Cyber Threat Intelligence (CTI) effektiv nutzen

Viele Unternehmen führen Risikobewertungen noch statisch durch, doch die ISO 27001:2022 macht mit A.5.7 klar: Ohne aktuelle Threat Intelligence bleibt jedes ISMS blind. Erfahren Sie, wie Sie generische Risiken durch konkrete, reale Bedrohungen ersetzen, Ihr Risikomanagement dynamisch weiterentwickeln und Cyberangriffe proaktiv abwehren. Dieser Leitfaden zeigt praxisnah, wie CTI Ihr Sicherheitsniveau messbar erhöht und Ihr ISMS von reaktiv zu vorausschauend transformiert.

Lesen
September 25, 2023
10 min
Bitkom-Studie: Mittelstand im Visier der Cyberkriminalität

Laut einer aktuellen Bitkom-Studie erlitt die deutsche Wirtschaft einen Schaden von 206 Milliarden Euro durch Cyberkriminalität, wobei vor allem Angriffe aus dem Umfeld der Organisierten Kriminalität zugenommen haben. Sowohl Großunternehmen als auch kleine und mittelständische Unternehmen waren betroffen. Wie können Sie Ihr Unternehmen schützen?

Lesen
November 6, 2025
4 Minuten
NIS2: Krisenkommunikation bei Cybervorfällen richtig planen

Viele Unternehmen unterschätzen die Rolle der Kommunikation im Cybervorfall und riskieren damit unter NIS2 hohe Bußgelder und Vertrauensverlust. Dieser Leitfaden zeigt, wie Sie in den ersten 24 Stunden strukturiert, schnell und souverän handeln – von der Erstmeldung an Behörden bis zur klaren internen und externen Kommunikation. So behalten Sie die Kontrolle über die Situation, statt sie an Gerüchte und Krisendruck zu verlieren.

Lesen
Related Resources
NIS2: So schützen Immutable Backups vor Ransomware
November 11, 2025
5 Minuten
NIS2: Meldung in 24 Stunden – so handeln Sie richtig
November 3, 2025
5 Minuten
Geldwäschegesetz: So setzen Sie das GwG im Unternehmen praktisch um
June 8, 2023
12 min
Marketing Tips for Niche Industries
NIS2: Effektivität Ihrer Sicherheitsmaßnahmen mit KPIs messen
November 19, 2025
5 Minuten
ISO 9001 Zertifizierung: Der komplette Leitfaden für Ihr Qualitätsmanagementsystem (QMS)
November 18, 2025
10 min
NIS2: Koordination bei EU-weiten Cyberangriffen
November 3, 2025
5 Minuten
TO TOP