Neues Beschäftigtendatenschutz – Was Unternehmen jetzt konkret tun müssen

Mit dem BDSG-neu (Juli 2025) wurde der Beschäftigtendatenschutz in § 26 deutlich konkretisiert. Unternehmen sind nun verpflichtet, ihre Prozesse nicht nur DSGVO-konform, sondern auch an die erweiterten Anforderungen des § 26 BDSG-neu anzupassen. Der Gesetzgeber zielt damit darauf ab, sowohl die Rechte der Beschäftigten besser zu schützen als auch Arbeitgeber zu einer klaren, transparenten und rechtssicheren Verarbeitung personenbezogener Daten anzuhalten.

Im Folgenden erhalten Sie eine umfassende und praxisnahe Darstellung der wichtigsten Neuerungen – mit Erläuterungen, Beispielen und konkreten Handlungsempfehlungen.

1. Geltungsbereich des § 26 BDSG-neu

Der Anwendungsbereich des § 26 BDSG-neu ist weit gefasst. Er betrifft nicht nur klassische Arbeitnehmer:innen, sondern sämtliche Personen in einem Beschäftigungskontext. Dazu zählen auch Bewerber:innen, Praktikant:innen, Leiharbeitnehmer:innen, ehemalige Beschäftigte sowie arbeitnehmerähnliche Personen wie freie Mitarbeitende, die weisungsgebunden tätig sind.

Die Norm erfasst sämtliche Phasen des Beschäftigungsverhältnisses: von der Anbahnung über die Durchführung bis zur Beendigung. Das bedeutet: Schon mit Eingang einer Bewerbung greifen die Regelungen.

Konkrete Umsetzung im Unternehmen: Arbeitgeber sollten sämtliche Beschäftigtengruppen identifizieren, die unter diese Regelung fallen. Dazu gehören beispielsweise auch studentische Aushilfen, Minijobber:innen oder Werkstudierende. Alle Verarbeitungsprozesse – vom Onboarding über Zeiterfassung bis zum Exit-Management – sollten auf ihre datenschutzrechtliche Zulässigkeit nach § 26 geprüft werden.

Beispiel: Ein freier Mitarbeiter erhält Zugang zum internen Zeiterfassungssystem und wird dort namentlich geführt. Da ein arbeitnehmerähnliches Verhältnis vorliegt, greift § 26 BDSG-neu. Die Datenverarbeitung muss dokumentiert, zweckgebunden und auf das erforderliche Maß beschränkt werden.

2. Rechtmäßigkeit der Datenverarbeitung

Die Verarbeitung personenbezogener Daten ist gemäß § 26 Abs. 1 BDSG-neu nur zulässig, wenn sie erforderlich ist:

  • zur Begründung eines Beschäftigungsverhältnisses,

  • zur Durchführung oder Beendigung desselben,

  • oder zur Erfüllung gesetzlicher Verpflichtungen.

Hierbei ist stets der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO zu beachten.

Was müssen Unternehmen tun? Jede Verarbeitungsaktivität sollte auf ihren konkreten Zweck geprüft und diesem rechtlich zugeordnet werden. Es ist nicht zulässig, Daten „auf Vorrat“ oder zur bloßen Absicherung zu speichern.

Beispiele aus der Praxis:

  • Für die Lohnabrechnung sind Name, Steuer-ID, Bankverbindung, Sozialversicherungsnummer und ggf. Steuerklasse erforderlich. Eine Speicherung über das gesetzliche Aufbewahrungsintervall hinaus ist unzulässig.

  • Arbeitszeitdaten (Ein- und Ausstempelzeiten) dürfen erfasst werden, sofern dies für die Abrechnung und Nachweisführung gegenüber Behörden (z. B. Zollkontrolle, Mindestlohndokumentation) erforderlich ist.

3. Einwilligung im Beschäftigtenverhältnis

Einwilligungen im Arbeitsverhältnis stellen datenschutzrechtlich eine besondere Herausforderung dar, da ein strukturelles Abhängigkeitsverhältnis zwischen Arbeitgeber und Beschäftigtem besteht. Daher ist besondere Sorgfalt geboten: Eine Einwilligung muss freiwillig, informiert, zweckgebunden und jederzeit widerrufbar sein.

Was müssen Unternehmen tun? Es sollte geprüft werden, ob die jeweilige Datenverarbeitung auch ohne Einwilligung rechtmäßig möglich ist – z. B. auf Grundlage einer vertraglichen Verpflichtung oder gesetzlichen Vorgabe. Einwilligungen sind nur dann einzuholen, wenn keine andere Rechtsgrundlage greift.

Beispiel: Ein Unternehmen möchte auf seiner Website Teamfotos veröffentlichen. Da dies nicht für die Durchführung des Arbeitsverhältnisses erforderlich ist, darf dies nur mit schriftlicher, freiwilliger Einwilligung erfolgen. Diese ist separat zu dokumentieren und jederzeit widerrufbar. Ein Hinweis auf mögliche Folgen eines Widerrufs (z. B. Entfernung des Bildes) ist zu ergänzen.

4. Besondere Kategorien personenbezogener Daten

Gemäß § 26 Abs. 3 BDSG-neu i. V. m. Art. 9 DSGVO dürfen besonders sensible Daten – etwa zur Gesundheit, Religionszugehörigkeit oder Gewerkschaftsmitgliedschaft – nur unter engen Voraussetzungen verarbeitet werden.

Was ist zu beachten? Der Zugriff auf solche Daten muss auf ein Minimum beschränkt und technisch besonders geschützt werden. Sensible Daten dürfen nur verarbeitet werden, wenn:

  • eine gesetzliche Pflicht besteht (z. B. Erhebung der Schwerbehinderteneigenschaft zur Geltendmachung von Zusatzurlaub),

  • eine ausdrückliche Einwilligung vorliegt,

  • oder ein berechtigtes arbeitsrechtliches Interesse dies erfordert (z. B. im Rahmen der Arbeitssicherheit).

Praxisbeispiel: AU-Bescheinigungen, die per E-Mail an die Personalabteilung gesendet werden, enthalten Gesundheitsdaten. Diese dürfen nur von befugten Personen eingesehen werden und sind in ein separates, geschütztes System zu überführen. Löschfristen (z. B. sechs Monate nach Wiedereingliederung) sind festzulegen.

5. Datenschutz im Bewerbungsverfahren

Bereits mit Eingang der Bewerbung beginnt die Verarbeitung personenbezogener Daten im Sinne des § 26 BDSG-neu. Dazu zählen insbesondere:

  • Kontaktdaten,

  • Lebensläufe,

  • Zeugnisse,

  • Notizen aus Vorstellungsgesprächen.

Was ist zu tun? Diese Daten dürfen ausschließlich für den Zweck der Auswahlentscheidung verwendet werden. Nach Abschluss des Verfahrens sind sie zu löschen, es sei denn, eine Einwilligung zur längeren Speicherung (z. B. im Talentpool) liegt vor.

Beispiel: Ein Bewerber erhält eine Absage. Die Unterlagen bleiben dennoch im System gespeichert. Ohne Einwilligung ist dies unzulässig. Arbeitgeber sollten Bewerber frühzeitig darauf hinweisen und eine freiwillige Einwilligung einholen, z. B. mit dem Zusatz: „Ich bin damit einverstanden, dass meine Bewerbungsunterlagen für künftige Stellenangebote für maximal 12 Monate gespeichert werden.“

6. Technische und organisatorische Maßnahmen (TOMs)

Gemäß Art. 32 DSGVO müssen Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen, um personenbezogene Daten zu schützen. Im Bereich des Beschäftigtendatenschutzes bedeutet das insbesondere:

  • Zugriffskontrollen auf Personalakten (digital und analog),

  • Protokollierung von Zugriffen auf sensible Daten,

  • regelmäßige Schulung der Personalverantwortlichen,

  • Verschlüsselung von besonders schützenswerten Daten,

  • klare Löschkonzepte und Verantwortlichkeiten.

Beispiel: Ein HR-System enthält die digitale Personalakte. Der Zugriff wird durch rollenbasierte Rechte eingeschränkt. Nur autorisierte Personen mit Personalverantwortung können auf bestimmte Inhalte zugreifen. Zugriffe werden protokolliert und regelmäßig kontrolliert.

Fazit: Beschäftigtendatenschutz aktiv gestalten

Der neue § 26 BDSG-neu ist keine reine Formalität, sondern verlangt eine bewusste und strukturierte Auseinandersetzung mit allen personenbezogenen Daten im Beschäftigtenkontext. Unternehmen, die den Beschäftigtendatenschutz ernst nehmen, stärken nicht nur die Compliance, sondern auch das Vertrauen ihrer Mitarbeitenden.

Was Sie jetzt konkret tun sollten:

  • Überprüfen Sie Ihre HR-Prozesse auf datenschutzrechtliche Erfordernisse,

  • Dokumentieren Sie Zwecke und Rechtsgrundlagen jeder Verarbeitung,

  • Schulen Sie Ihre Mitarbeitenden regelmäßig zu Datenschutzpflichten,

  • Etablieren Sie transparente Verfahren zur Einwilligung und Datenlöschung,

  • Kontrollieren Sie Zugriffsbeschränkungen und Sicherheitsmaßnahmen.

Nur wer diese Punkte konkret und nachvollziehbar umsetzt, handelt rechtssicher und schützt gleichzeitig die Persönlichkeitsrechte der Beschäftigten.

Autorin des Beitrags

Anahita Lotfi
▪️Juristin
▪️Externe Datenschutzbeauftragte
▪️Fachexpertin auf dem Gebiet der Cyberkriminalität und KI
▪️Unternehmensberaterin für StartUp & KMU
▪️Gründerin von LEXAL LAW \ CONSULTINGS

Lesen Sie auch