Wissen/DSGVO und Mitarbeiterdaten: Welche Verarbeitungen werden als zulässig eingeordnet?

DSGVO und Mitarbeiterdaten: Welche Verarbeitungen werden als zulässig eingeordnet?

Welche Mitarbeiterdaten werden in der Beschäftigtenkontext-Konstellation typischerweise als zulässig eingeordnet? Rechtsgrundlagen, Sonderkategorien, Fristen — mit Quellen.

ComplyCheck-Redaktion · Stand: 2026-07-14

DSGVOBeschäftigtendatenschutzKMUQuick-Decision

DSGVO und Mitarbeiterdaten: Welche Verarbeitungen werden als zulässig eingeordnet?

Stand: 2026-05-17 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.

Wichtig

Diese Einordnung ist eine pauschale Orientierung auf Basis öffentlicher Quellen. Sie ersetzt keine Einzelfall-Prüfung durch qualifizierte Beratung. Konkrete Pflichten hängen von Tarifverträgen, Betriebsvereinbarungen, Branche und der konkreten Verarbeitungs-Konstellation ab.

Welche regulatorische Grundlage gilt?

Der Beschäftigten-Datenschutz wird in Deutschland durch ein Geflecht aus Normen geprägt:

  • Art. 88 DSGVO öffnet eine nationale Regelungs-Befugnis für den Beschäftigungs-Kontext.
  • § 26 BDSG konkretisiert diese Öffnung. Abs. 1 erfasst Verarbeitungen für Zwecke des Beschäftigungsverhältnisses, Abs. 2 regelt die Einwilligung im Arbeits-Kontext (mit erhöhten Anforderungen an die Freiwilligkeit), Abs. 3 die Verarbeitung besonderer Datenkategorien.

Detail

  • Spezialgesetze überlagern die allgemeinen Regeln in vielen Bereichen — etwa § 167 SGB IX (Betriebliches Eingliederungsmanagement), § 22 BDSG (Gesundheitsdaten), § 51a EStG (Religion für Kirchensteuer), § 28a SGB IV (Sozialversicherung) und das ArbZG (Arbeitszeit-Dokumentation).
  • Kollektivrecht — Betriebsvereinbarungen können nach § 26 Abs. 4 BDSG Rechtsgrundlage für Verarbeitungen sein, sofern sie die Anforderungen aus Art. 88 Abs. 2 DSGVO einhalten.

Die DSK-Orientierungshilfe Beschäftigtendatenschutz fasst die Verwaltungs-Praxis der Aufsichtsbehörden zusammen und wird in Konflikt-Konstellationen regelmäßig herangezogen.

Welche Konstellation passt zu deinem Verarbeitungs-Profil?

Eine Verarbeitung ist nach § 26 Abs. 1 Satz 1 BDSG regelmäßig zulässig, sofern sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, für dessen Durchführung oder Beendigung erforderlich ist. Die Erforderlichkeit ist eng auszulegen — der Bundesarbeitsgericht-Beschluss vom 7.5.2019 (1 ABR 53/17) hat klargestellt, dass bloße Zweckmäßigkeit nicht genügt.

Detail

Als typischerweise erforderlich werden im Standard-Fall eingestuft:

  • Stammdaten (Name, Adresse, Geburtsdatum) für Vertrags- und Steuer-Pflichten
  • Sozialversicherungs- und Steuerdaten für gesetzliche Melde-Pflichten
  • Bankverbindung für Lohnzahlung
  • Arbeitsvertrags-bezogene Daten (Position, Gehalt, Arbeitszeit, Urlaubsanspruch)
  • Krankheitstage als reine Abwesenheits-Information (Diagnose ist nicht erforderlich)
  • Qualifikations- und Zeugnis-Unterlagen aus dem Bewerbungs-Verfahren

Kritisch zu bewerten sind dagegen Konstellationen wie:

  • pauschale Persönlichkeits-Profile ohne konkreten Vertragsbezug
  • Tracking der Mitarbeiter-Aktivität ohne mitbestimmungs-rechtliche Grundlage
  • biometrische Zeiterfassung — hier verlangt § 26 Abs. 2 BDSG bei Stützung auf Einwilligung eine spezifisch dokumentierte Freiwilligkeit, die in der hierarchischen Arbeitsbeziehung schwer nachzuweisen ist
  • Speicherung von Daten Familien-Angehöriger ohne erkennbaren Vertragsbezug

Sofern besondere Datenkategorien nach Art. 9 DSGVO betroffen sind, gelten regelmäßig zusätzliche Anforderungen. Gesundheitsdaten im Rahmen des Betrieblichen Eingliederungsmanagements stützen sich beispielsweise auf § 26 Abs. 3 BDSG i.V.m. § 167 Abs. 2 SGB IX; eine getrennte Akten-Führung mit eingeschränktem Zugriffskreis ist nach DSK-Praxis verbreitet.

Welcher Aufbau-Rahmen ist verbreitet?

In der Beratungs-Praxis werden für die strukturierte Personaldaten-Verarbeitung regelmäßig drei Bausteine genannt:

Kartierung der Personaldaten-Flüsse — Inventur, welche Systeme welche Personaldaten enthalten (Lohnsoftware, Personalakten-System, E-Mail, Zeiterfassung, Zutritts-System, BEM-Akte). Diese Aufstellung fließt in das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO ein.

Detail

Lösch- und Aufbewahrungs-Konzept — eine Tabelle mit Datenart, einschlägiger Aufbewahrungs-Frist, Lösch-Termin und verantwortlicher Stelle. Typische Bezugs-Normen:

Datenart Aufbewahrung Rechtsgrundlage
Lohn- und Gehaltsunterlagen 10 Jahre § 147 AO, § 14b UStG
Sozialversicherungs-Unterlagen 5 Jahre nach Ablauf des Kalenderjahres § 28f Abs. 1 SGB IV
Bewerbungsunterlagen (Absage) typischerweise 6 Monate § 15 Abs. 4 AGG (Klage-Frist)
Personalakte (allgemein) regelmäßig 3 Jahre nach Beendigung § 195 BGB (Verjährung)
Lohnsteuer-Bescheinigungen 6 Jahre § 41 EStG
Arbeitszeit-Nachweise mindestens 2 Jahre § 16 Abs. 2 ArbZG

Das BAG hat in 2 AZR 342/20 klargestellt, dass bei Löschungs-Verlangen nach Art. 17 DSGVO die fortbestehenden Aufbewahrungs-Pflichten konkret darzulegen sind. Pauschale Verweise auf „mögliche zukünftige Ansprüche" tragen regelmäßig nicht.

Betroffenenrechte-Prozess — ein definierter Workflow für eingehende Anfragen nach Art. 15 (Auskunft), Art. 16 (Berichtigung), Art. 17 (Löschung), Art. 18 (Einschränkung), Art. 20 (Datenübertragbarkeit) und Art. 21 (Widerspruch). Standard-Elemente sind Identitäts-Prüfung, Daten-Sammlung aus allen Systemen, Sichtung auf Drittpersonen-Bezüge, strukturierte Auslieferung in der Ein-Monats-Frist nach Art. 12 Abs. 3 DSGVO.

Welche Konstellationen erfordern abweichendes Vorgehen?

Mehrere Sonder-Konstellationen verschieben den Anforderungs-Rahmen deutlich:

  • Schwerbehinderten-Vertretung und BEM-Verfahren — hier greifen besondere Vertraulichkeits-Anforderungen aus § 167 SGB IX und § 178 SGB IX, sowie spezifische Zugriffs-Beschränkungen.
  • Whistleblowing-Meldungen nach HinSchG — eingehende Meldungen unterliegen besonderen Geheimhaltungs-Pflichten nach § 8 HinSchG; Personaldaten in diesem Kontext sind getrennt zu verarbeiten.

Detail

  • Konzern-interne Daten-Übermittlung — eine Übermittlung an Mutter- oder Schwestergesellschaften ist nach § 88 Abs. 2 DSGVO und der EDSA-Stellungnahme zu Binding Corporate Rules zu strukturieren; § 26 BDSG erfasst diese Konstellation nicht abschließend.
  • Künstliche Intelligenz im HR-Prozess (automatisierte Bewerbungs-Sichtung, Performance-Scoring) — hier greifen Art. 22 DSGVO sowie die Hochrisiko-Regelungen des AI Act (Verordnung (EU) 2024/1689), insbesondere Annex III Nr. 4.
  • Internationale Mitarbeiter-Datenflüsse außerhalb der EU/EWR — hier sind Standardvertragsklauseln nach Art. 46 DSGVO und ein Transfer Impact Assessment im Sinne der EDSA-Empfehlungen 01/2020 zu prüfen.
  • Betriebsrats-pflichtige Sachverhalte — bei mitbestimmungs-relevanten Verarbeitungen (insbesondere Leistungs- und Verhaltens-Kontrolle nach § 87 Abs. 1 Nr. 6 BetrVG) ist eine Betriebsvereinbarung regelmäßig erforderlich.

In allen genannten Konstellationen ist eine arbeits-, datenschutz- und ggf. mitbestimmungs-rechtliche Einzel-Begutachtung empfehlenswert.

Nächster Schritt

Eine strukturierte Aufnahme aller Personal-Verarbeitungen ins Verzeichnis nach Art. 30 DSGVO ist der typische Ausgangspunkt für eine belastbare Bestandsaufnahme. Unser Verfahrensverzeichnis-Generator enthält eine Vorlage „Personalverwaltung" mit den in der Praxis verbreiteten Standard-Verarbeitungen (Lohn, Personalakte, Bewerbung, Zeiterfassung, BEM, Reisekosten, Schulung, Notfall-Kontakte).

Sofern externe Lohn-Dienstleister eingebunden sind, ist die Abgrenzung zwischen Auftragsverarbeitung und eigener Verantwortlichkeit zu klären. DSGVO-Auftragsverarbeitung Art. 28 in der Praxis erläutert die Kriterien und die typische vertragliche Struktur.

Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 14. Juli 2026.

Verantwortlich i.S.d. § 18 MStV: siehe Impressum.

Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de

Artikel teilen
CC

Compliance-Updates ohne GRC-Bloat

NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.

🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU

Das könnte dich auch interessieren

Kommentare (0)

Kommentar schreiben

Kommentare werden vor der Veröffentlichung geprüft.