DSGVO und Mitarbeiterdaten: Welche Verarbeitungen werden als zulässig eingeordnet?
Welche Mitarbeiterdaten werden in der Beschäftigtenkontext-Konstellation typischerweise als zulässig eingeordnet? Rechtsgrundlagen, Sonderkategorien, Fristen — mit Quellen.
ComplyCheck-Redaktion · Stand: 2026-07-14
DSGVO und Mitarbeiterdaten: Welche Verarbeitungen werden als zulässig eingeordnet?
Stand: 2026-05-17 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.
Diese Einordnung ist eine pauschale Orientierung auf Basis öffentlicher Quellen. Sie ersetzt keine Einzelfall-Prüfung durch qualifizierte Beratung. Konkrete Pflichten hängen von Tarifverträgen, Betriebsvereinbarungen, Branche und der konkreten Verarbeitungs-Konstellation ab.
Welche regulatorische Grundlage gilt?
Der Beschäftigten-Datenschutz wird in Deutschland durch ein Geflecht aus Normen geprägt:
- Art. 88 DSGVO öffnet eine nationale Regelungs-Befugnis für den Beschäftigungs-Kontext.
- § 26 BDSG konkretisiert diese Öffnung. Abs. 1 erfasst Verarbeitungen für Zwecke des Beschäftigungsverhältnisses, Abs. 2 regelt die Einwilligung im Arbeits-Kontext (mit erhöhten Anforderungen an die Freiwilligkeit), Abs. 3 die Verarbeitung besonderer Datenkategorien.
Detail
- Spezialgesetze überlagern die allgemeinen Regeln in vielen Bereichen — etwa § 167 SGB IX (Betriebliches Eingliederungsmanagement), § 22 BDSG (Gesundheitsdaten), § 51a EStG (Religion für Kirchensteuer), § 28a SGB IV (Sozialversicherung) und das ArbZG (Arbeitszeit-Dokumentation).
- Kollektivrecht — Betriebsvereinbarungen können nach § 26 Abs. 4 BDSG Rechtsgrundlage für Verarbeitungen sein, sofern sie die Anforderungen aus Art. 88 Abs. 2 DSGVO einhalten.
Die DSK-Orientierungshilfe Beschäftigtendatenschutz fasst die Verwaltungs-Praxis der Aufsichtsbehörden zusammen und wird in Konflikt-Konstellationen regelmäßig herangezogen.
Welche Konstellation passt zu deinem Verarbeitungs-Profil?
Eine Verarbeitung ist nach § 26 Abs. 1 Satz 1 BDSG regelmäßig zulässig, sofern sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, für dessen Durchführung oder Beendigung erforderlich ist. Die Erforderlichkeit ist eng auszulegen — der Bundesarbeitsgericht-Beschluss vom 7.5.2019 (1 ABR 53/17) hat klargestellt, dass bloße Zweckmäßigkeit nicht genügt.
Detail
Als typischerweise erforderlich werden im Standard-Fall eingestuft:
- Stammdaten (Name, Adresse, Geburtsdatum) für Vertrags- und Steuer-Pflichten
- Sozialversicherungs- und Steuerdaten für gesetzliche Melde-Pflichten
- Bankverbindung für Lohnzahlung
- Arbeitsvertrags-bezogene Daten (Position, Gehalt, Arbeitszeit, Urlaubsanspruch)
- Krankheitstage als reine Abwesenheits-Information (Diagnose ist nicht erforderlich)
- Qualifikations- und Zeugnis-Unterlagen aus dem Bewerbungs-Verfahren
Kritisch zu bewerten sind dagegen Konstellationen wie:
- pauschale Persönlichkeits-Profile ohne konkreten Vertragsbezug
- Tracking der Mitarbeiter-Aktivität ohne mitbestimmungs-rechtliche Grundlage
- biometrische Zeiterfassung — hier verlangt § 26 Abs. 2 BDSG bei Stützung auf Einwilligung eine spezifisch dokumentierte Freiwilligkeit, die in der hierarchischen Arbeitsbeziehung schwer nachzuweisen ist
- Speicherung von Daten Familien-Angehöriger ohne erkennbaren Vertragsbezug
Sofern besondere Datenkategorien nach Art. 9 DSGVO betroffen sind, gelten regelmäßig zusätzliche Anforderungen. Gesundheitsdaten im Rahmen des Betrieblichen Eingliederungsmanagements stützen sich beispielsweise auf § 26 Abs. 3 BDSG i.V.m. § 167 Abs. 2 SGB IX; eine getrennte Akten-Führung mit eingeschränktem Zugriffskreis ist nach DSK-Praxis verbreitet.
Welcher Aufbau-Rahmen ist verbreitet?
In der Beratungs-Praxis werden für die strukturierte Personaldaten-Verarbeitung regelmäßig drei Bausteine genannt:
Kartierung der Personaldaten-Flüsse — Inventur, welche Systeme welche Personaldaten enthalten (Lohnsoftware, Personalakten-System, E-Mail, Zeiterfassung, Zutritts-System, BEM-Akte). Diese Aufstellung fließt in das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO ein.
Detail
Lösch- und Aufbewahrungs-Konzept — eine Tabelle mit Datenart, einschlägiger Aufbewahrungs-Frist, Lösch-Termin und verantwortlicher Stelle. Typische Bezugs-Normen:
| Datenart | Aufbewahrung | Rechtsgrundlage |
|---|---|---|
| Lohn- und Gehaltsunterlagen | 10 Jahre | § 147 AO, § 14b UStG |
| Sozialversicherungs-Unterlagen | 5 Jahre nach Ablauf des Kalenderjahres | § 28f Abs. 1 SGB IV |
| Bewerbungsunterlagen (Absage) | typischerweise 6 Monate | § 15 Abs. 4 AGG (Klage-Frist) |
| Personalakte (allgemein) | regelmäßig 3 Jahre nach Beendigung | § 195 BGB (Verjährung) |
| Lohnsteuer-Bescheinigungen | 6 Jahre | § 41 EStG |
| Arbeitszeit-Nachweise | mindestens 2 Jahre | § 16 Abs. 2 ArbZG |
Das BAG hat in 2 AZR 342/20 klargestellt, dass bei Löschungs-Verlangen nach Art. 17 DSGVO die fortbestehenden Aufbewahrungs-Pflichten konkret darzulegen sind. Pauschale Verweise auf „mögliche zukünftige Ansprüche" tragen regelmäßig nicht.
Betroffenenrechte-Prozess — ein definierter Workflow für eingehende Anfragen nach Art. 15 (Auskunft), Art. 16 (Berichtigung), Art. 17 (Löschung), Art. 18 (Einschränkung), Art. 20 (Datenübertragbarkeit) und Art. 21 (Widerspruch). Standard-Elemente sind Identitäts-Prüfung, Daten-Sammlung aus allen Systemen, Sichtung auf Drittpersonen-Bezüge, strukturierte Auslieferung in der Ein-Monats-Frist nach Art. 12 Abs. 3 DSGVO.
Welche Konstellationen erfordern abweichendes Vorgehen?
Mehrere Sonder-Konstellationen verschieben den Anforderungs-Rahmen deutlich:
- Schwerbehinderten-Vertretung und BEM-Verfahren — hier greifen besondere Vertraulichkeits-Anforderungen aus § 167 SGB IX und § 178 SGB IX, sowie spezifische Zugriffs-Beschränkungen.
- Whistleblowing-Meldungen nach HinSchG — eingehende Meldungen unterliegen besonderen Geheimhaltungs-Pflichten nach § 8 HinSchG; Personaldaten in diesem Kontext sind getrennt zu verarbeiten.
Detail
- Konzern-interne Daten-Übermittlung — eine Übermittlung an Mutter- oder Schwestergesellschaften ist nach § 88 Abs. 2 DSGVO und der EDSA-Stellungnahme zu Binding Corporate Rules zu strukturieren; § 26 BDSG erfasst diese Konstellation nicht abschließend.
- Künstliche Intelligenz im HR-Prozess (automatisierte Bewerbungs-Sichtung, Performance-Scoring) — hier greifen Art. 22 DSGVO sowie die Hochrisiko-Regelungen des AI Act (Verordnung (EU) 2024/1689), insbesondere Annex III Nr. 4.
- Internationale Mitarbeiter-Datenflüsse außerhalb der EU/EWR — hier sind Standardvertragsklauseln nach Art. 46 DSGVO und ein Transfer Impact Assessment im Sinne der EDSA-Empfehlungen 01/2020 zu prüfen.
- Betriebsrats-pflichtige Sachverhalte — bei mitbestimmungs-relevanten Verarbeitungen (insbesondere Leistungs- und Verhaltens-Kontrolle nach § 87 Abs. 1 Nr. 6 BetrVG) ist eine Betriebsvereinbarung regelmäßig erforderlich.
In allen genannten Konstellationen ist eine arbeits-, datenschutz- und ggf. mitbestimmungs-rechtliche Einzel-Begutachtung empfehlenswert.
Nächster Schritt
Eine strukturierte Aufnahme aller Personal-Verarbeitungen ins Verzeichnis nach Art. 30 DSGVO ist der typische Ausgangspunkt für eine belastbare Bestandsaufnahme. Unser Verfahrensverzeichnis-Generator enthält eine Vorlage „Personalverwaltung" mit den in der Praxis verbreiteten Standard-Verarbeitungen (Lohn, Personalakte, Bewerbung, Zeiterfassung, BEM, Reisekosten, Schulung, Notfall-Kontakte).
Sofern externe Lohn-Dienstleister eingebunden sind, ist die Abgrenzung zwischen Auftragsverarbeitung und eigener Verantwortlichkeit zu klären. DSGVO-Auftragsverarbeitung Art. 28 in der Praxis erläutert die Kriterien und die typische vertragliche Struktur.
Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 14. Juli 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de
Compliance-Updates ohne GRC-Bloat
NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.
🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU
Das könnte dich auch interessieren
DSGVO-Cookie-Banner: Standard-Konfiguration für KMU
Welche Cookie-Banner-Konfiguration ist für typische KMU-Webseiten verbreitet? § 25 TTDSG, Reject-All-Parität, Pflicht-Inhalte — konditionale Praxis-Einordnung.
DSGVO für 5-Personen-Firma: Häufig genannte Mindest-Kategorien
Welche DSGVO-Pflichten werden bei Kleinst-Unternehmen üblicherweise erwartet? Verzeichnis, Webseite, AVVs — konditionale Einordnung mit Quellen.
NIS2 Quick-Check: 10 Fragen in 30 Minuten
Erste strukturierte NIS2-Selbst-Bewertung anhand von 10 Leitfragen. Typischer Aufwand 30-60 Minuten, abhängig von Vorwissen und Komplexität. Keine Rechtsberatung.