Ratgeber / Beschäftigtendatenschutz § 26 BDSG

Beschäftigtendatenschutz: § 26 BDSG nach EuGH C-34/21 und BAG 8 AZR 209/21

Zuletzt aktualisiert: · Stand: 07/2026 · Team von gdpr-examtrainer.com

§ 26 BDSG regelt, wann Arbeitgeber Beschäftigtendaten verarbeiten dürfen — doch nach EuGH C-34/21 gilt der zentrale Abs. 1 Satz 1 nicht mehr als eigenständige Rechtsgrundlage. Was das BAG in 8 AZR 209/21 daraus gemacht hat, was die Einwilligung so heikel macht und wer überhaupt als Beschäftigter gilt — hier mit Primärquellen belegt.

„Der Arbeitgeber darf doch alles speichern, oder?" — ein häufiger Denkfehler

In Datenschutz-Foren und DSB-Community-Gruppen taucht dieselbe Frage immer wieder auf: „Muss ich als Arbeitgeber für jede Datei über meinen Mitarbeiter eine Rechtsgrundlage nachweisen?" Die häufige Antwort ist dabei zu kurz: „§ 26 BDSG deckt das ab." Prüfungskandidaten, die das so wiederholen, übersehen zwei entscheidende Entwicklungen — das EuGH-Urteil vom 30. März 2023 (C-34/21) und die BAG-Entscheidung vom 8. Mai 2025 (8 AZR 209/21). Beide zusammen verschieben die Rechtsgrundlage erheblich.

Wer als angehender Datenschutzbeauftragter Beschäftigtendatenschutz erklären soll, braucht mehr als den Gesetzestext: Er muss wissen, welche Teile von § 26 BDSG noch eigenständig anwendbar sind, wo direkt auf die DSGVO zurückgegriffen werden muss und warum die Einwilligung im Arbeitsverhältnis strukturell anders funktioniert als im Verbraucherkontext. Aufbauend auf dem Überblick zu den sechs Erlaubnistatbeständen nach Art. 6 DSGVO zeigt dieser Ratgeber, was § 26 BDSG konkret regelt — und was nicht mehr.

Was ist § 26 BDSG — und wer gilt als Beschäftigter?

§ 26 BDSG (Bundesdatenschutzgesetz 2018) ist die nationale Spezialvorschrift für die Verarbeitung personenbezogener Daten im Beschäftigungskontext und stützt sich auf die Öffnungsklausel des Art. 88 DSGVO, der den Mitgliedstaaten erlaubt, spezifischere Regeln für Beschäftigtendaten zu erlassen. Das Besondere: Der Beschäftigtenbegriff in § 26 Abs. 8 BDSG ist ungewöhnlich weit.

AN
Arbeitnehmer inkl. Leiharbeitnehmer
AZB
zu ihrer Berufsbildung Beschäftigte
BEW
Bewerber für ein Beschäftigungsverhältnis
EX
Personen mit beendetem Beschäftigungsverhältnis

Darüber hinaus zählen nach § 26 Abs. 8 BDSG auch Rehabilitanden, Beschäftigte in Werkstätten für Menschen mit Behinderungen, Freiwillige nach dem Jugendfreiwilligendienstegesetz (JFDG) oder dem Bundesfreiwilligendienstgesetz (BFDG), arbeitnehmerähnliche Personen (etwa Heimarbeiter) sowie Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten und Zivildienstleistende als Beschäftigte. Die Aufnahme von Bewerbern und ehemaligen Beschäftigten ist prüfungsrelevant: Sie genießen denselben datenschutzrechtlichen Schutz wie aktive Arbeitnehmer.

Was ist der Grundsatz der Erforderlichkeit (§ 26 Abs. 1 Satz 1 BDSG)?

§ 26 Abs. 1 Satz 1 BDSG erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Das klingt wie eine umfassende Generalerlaubnis — und genau das ist das Problem.

§ 26 Abs. 1 Satz 1 BDSG (Wortlaut, Auszug): „Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung […] erforderlich ist."

Diese Formulierung wiederholt im Kern lediglich die Bedingung der Erforderlichkeit, die auch Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) aufstellt — ohne zusätzliche beschäftigungsspezifische Schutzmaßnahmen zu schaffen. Genau darin liegt der Konflikt mit dem Unionsrecht.

Warum gilt § 26 Abs. 1 Satz 1 BDSG nicht mehr als eigenständige Rechtsgrundlage?

§ 26 Abs. 1 Satz 1 BDSG gilt nach herrschender Auffassung von Aufsichtsbehörden und Literatur — bestätigt durch das BAG im Mai 2025 — nicht mehr als selbstständige Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten, weil er die Anforderungen der Öffnungsklausel des Art. 88 DSGVO nicht erfüllt.

Den Ausgangspunkt setzte der EuGH in seinem Urteil vom 30. März 2023 (C-34/21). Gegenstand war § 23 Abs. 1 S. 1 HDSIG — die hessische Parallelvorschrift zu § 26 Abs. 1 S. 1 BDSG —, auf die eine hessische Schule die Videoübertragung von Unterricht gestützt hatte. Der EuGH erklärte: Nationale Generalklauseln im Beschäftigungskontext, die lediglich die allgemeinen Rechtmäßigkeitsbedingungen der DSGVO wiederholen, ohne die von Art. 88 Abs. 2 DSGVO verlangten „geeigneten und besonderen Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte" zu schaffen, sind keine zulässigen Öffnungsklauselvorschriften i.S.v. Art. 88 Abs. 1 DSGVO und bleiben unangewendet. Da § 26 Abs. 1 S. 1 BDSG strukturell mit § 23 HDSIG identisch formuliert ist, zogen Aufsichtsbehörden (u.a. LfDI Baden-Württemberg, BfDI) und die herrschende Literatur dieselbe Schlussfolgerung für das Bundesgesetz.

Das Bundesarbeitsgericht (BAG) übertrug diese Wertung in seinem Urteil vom 8. Mai 2025 (8 AZR 209/21) explizit auf § 26 Abs. 1 BDSG und erklärte ihn für unanwendbar. Der Arbeitgeber hatte Beschäftigtendaten für den Test einer HR-Software an eine US-Konzernobergesellschaft übermittelt — über den Umfang einer Betriebsvereinbarung hinaus. Das BAG verurteilte ihn zur Zahlung von 200 € immateriellem Schadensersatz nach Art. 82 Abs. 1 DSGVO (vgl. auch Ratgeber zu Art. 82 DSGVO).

Prüfungsmerkpunkt: § 26 Abs. 1 Satz 1 BDSG ist seit EuGH C-34/21 und BAG 8 AZR 209/21 als eigenständige Rechtsgrundlage unanwendbar. Arbeitgeber greifen stattdessen direkt auf die DSGVO zurück — je nach Verarbeitungszweck auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung, z.B. Gehaltsabrechnung), Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung, z.B. Sozialversicherungsmeldungen, Lohnsteuerabzug) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Die übrigen Absätze 2–8 des § 26 BDSG bleiben nach überwiegender Auffassung anwendbar, da sie eigenständige beschäftigungsspezifische Regelungen enthalten.

Was gilt für die Aufdeckung von Straftaten (§ 26 Abs. 1 Satz 2 BDSG)?

§ 26 Abs. 1 Satz 2 BDSG erlaubt die Verarbeitung zur Aufdeckung von Straftaten nur unter drei kumulativen Voraussetzungen: zu dokumentierende tatsächliche Anhaltspunkte müssen den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung muss zur Aufdeckung erforderlich sein, und das schutzwürdige Interesse der Beschäftigten darf nicht überwiegen — insbesondere Art und Ausmaß der Maßnahme müssen verhältnismäßig sein.

Diese Regelung enthält eigenständige, über die DSGVO hinausgehende Schutzmerkmale (Dokumentationspflicht, Verhältnismäßigkeitsabwägung) und dürfte daher — anders als § 26 Abs. 1 Satz 1 BDSG — weiterhin als Rechtsgrundlage Bestand haben. Praxisbeispiel: Ein heimlich installierter Keylogger auf dem Dienst-PC des Mitarbeiters erfordert dokumentierten Straftatverdacht; eine anlasslose Totalüberwachung scheitert bereits an der Erforderlichkeit.

Wie funktioniert die Einwilligung im Beschäftigungsverhältnis?

§ 26 Abs. 2 BDSG erlaubt Einwilligungen von Beschäftigten, stellt aber besondere Anforderungen an deren Freiwilligkeit, weil das Abhängigkeitsverhältnis zwischen Arbeitgeber und Beschäftigtem die freie Entscheidung strukturell erschwert.

Wann kann Freiwilligkeit angenommen werden?

§ 26 Abs. 2 Satz 2 BDSG nennt zwei Konstellationen, in denen Freiwilligkeit insbesondere vorliegen kann: wenn die beschäftigte Person einen rechtlichen oder wirtschaftlichen Vorteil erhält (etwa betriebliche Krankenversicherung, Jobticket) oder wenn Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen (etwa gemeinsame Sportveranstaltung). In Zweifelsfällen — Kündigung bei Verweigerung, Beförderung als Gegenleistung — fehlt die Freiwilligkeit.

Form und Aufklärungspflicht

Die Einwilligung muss nach § 26 Abs. 2 Satz 3 BDSG schriftlich oder elektronisch erfolgen, soweit nicht besondere Umstände eine andere Form angemessen machen. Der Arbeitgeber muss die beschäftigte Person zudem gemäß § 26 Abs. 2 Satz 4 BDSG in Textform über den Verarbeitungszweck und ihr Widerrufsrecht nach Art. 7 Abs. 3 DSGVO aufklären.

Kollektivvereinbarungen als bevorzugter Weg (§ 26 Abs. 4 BDSG)

§ 26 Abs. 4 BDSG erlaubt die Verarbeitung von Beschäftigtendaten — einschließlich besonderer Kategorien — auf Grundlage von Kollektivvereinbarungen (Betriebs- oder Dienstvereinbarungen, Tarifverträge). In der Praxis sind Betriebsvereinbarungen die bevorzugte Rechtsgrundlage für komplexere Datenverarbeitungen wie Zeiterfassung, Leistungsbeurteilung oder Telematik, weil sie das Freiwilligkeitsproblem der Einzeleinwilligung umgehen.

Die Verhandlungspartner müssen dabei Art. 88 Abs. 2 DSGVO beachten: Die Vereinbarung muss „angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person" enthalten. Fehlen diese Schutzmaßnahmen, droht dieselbe Anwendbarkeitslücke wie bei § 26 Abs. 1 Satz 1 BDSG. Das BAG-Urteil 8 AZR 209/21 illustriert das: Die dort vorliegende Betriebsvereinbarung deckte nur bestimmte Datenkategorien ab — Übermittlungen darüber hinaus waren rechtswidrig. Das Verarbeitungsverzeichnis (Art. 30 DSGVO) muss die konkrete Kollektivvereinbarung als Rechtsgrundlage ausweisen.

Häufige Prüfungsfragen

Welche Daten darf ein Arbeitgeber im Bewerbungsverfahren erheben?

Nur jobspezifisch erforderliche Angaben. Fragen nach Schwangerschaft, Familienplanung, Konfession, Gewerkschaftsmitgliedschaft oder politischer Einstellung sind unzulässig, weil diese besonderen Datenkategorien (Art. 9 DSGVO) oder nach § 26 Abs. 3 BDSG nur bei arbeitsrechtlicher Notwendigkeit verarbeitet werden dürfen. Gesundheitsfragen sind allein dann zulässig, wenn sie für die Leistungsfähigkeit auf der konkreten Stelle relevant sind. Bewerber zählen nach § 26 Abs. 8 BDSG ausdrücklich als Beschäftigte.

Darf der Arbeitgeber Diensthandys, GPS oder E-Mails überwachen?

Grundsatz ist Verhältnismäßigkeit. GPS-Ortung bei Dienstfahrzeugen während der Arbeitszeit kann auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden, wenn berechtigte betriebliche Interessen (Flottenmanagement, Sicherheit) das Interesse der Beschäftigten nach Abwägung überwiegen; nach Feierabend oder bei Privatnutzung scheidet das aus. Auch während der Arbeitszeit ist eine dauerhafte, lückenlose Ortung ohne konkreten betrieblichen Bedarf grundsätzlich unzulässig — Datensparsamkeit (Art. 5 Abs. 1 lit. c DSGVO) und Verhältnismäßigkeit begrenzen den Umfang. E-Mail-Monitoring ist nur bei konkretem und dokumentiertem Missbrauchsverdacht vertretbar, nicht als Dauerkontrolle. Kameraüberwachung in Toiletten, Umkleiden oder Pausenräumen ist grundsätzlich unzulässig. Für alle Formen der Leistungs- und Verhaltenskontrolle sind zudem die Mitbestimmungsrechte des Betriebsrats nach § 26 Abs. 6 BDSG i.V.m. BetrVG zu beachten — für Datenschutzbeauftragte ein zentrales Thema im Rahmen der Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.

Was passiert mit Beschäftigtendaten nach Ende des Arbeitsverhältnisses?

Ehemalige Beschäftigte zählen nach § 26 Abs. 8 BDSG weiterhin als Beschäftigte — ihre Daten dürfen aber nur noch verarbeitet werden, soweit eine Rechtsgrundlage besteht. Typische Erlaubnistatbestände nach dem Ausscheiden sind gesetzliche Aufbewahrungsfristen (steuer- und handelsrechtliche Buchführungsunterlagen bis zu zehn Jahre), die Geltendmachung von Rechtsansprüchen oder laufende arbeitsrechtliche Verfahren. Betroffenenrechte nach Art. 15–22 DSGVO, darunter das Recht auf Löschung (Art. 17 DSGVO), stehen ehemaligen Beschäftigten ebenso zu wie aktiven — vgl. Ratgeber zu den Betroffenenrechten.

§ 26 BDSG sicher beherrschen

Übe Beschäftigtendatenschutz, Rechtsgrundlagen und alle weiteren Prüfungsthemen mit Prüfungssimulation — Vorbereitung auf die Zertifizierung zum Datenschutzbeauftragten (TÜV / DEKRA).

Kostenlos registrieren