§ 26 bdsg - Datenschutzgrundverordnung

Inhaltsverzeichnis

Einleitung: Warum § 26 BDSG 2025 noch (und nicht mehr lange) gilt
Gesetzlicher Rahmen: DSGVO Art. 88 vs. § 26 BDSG
Wortlaut & Struktur des § 26 BDSG – Absätze 1 bis 4
Rechtmäßigkeit der Datenverarbeitung: „Erforderlichkeit“ in der Praxis
Spezialfälle: Recruiting, Personalakte, Videoüberwachung, KI-Analyse
Einwilligung nach § 26 Abs. 2 BDSG: freiwillig oder doch nicht?
Kollektivvereinbarungen & Betriebsrat – § 26 Abs. 4 BDSG
EuGH 30. 03. 2023 (C-34/21) & BAG-Rechtsprechung 2024
Technische & organisatorische Maßnahmen (TOM) + DSFA
Zukunftsausblick: Referentenentwurf Beschäftigtendatengesetz (BeschDG)
FAQ zu § 26 BDSG & BeschDG
Checkliste & Best-Practice-Workflow

1 Einleitung: Warum § 26 BDSG 2025 noch (und nicht mehr lange) gilt

Wer als HR-Leitung, Compliance-Officer oder Datenschutzbeauftragte*r mit Beschäftigtendaten arbeitet, kommt an § 26 BDSG nicht vorbei. Die Norm erlaubt derzeit, personenbezogene Daten „zur Begründung, Durchführung und Beendigung“ von Arbeitsverhältnissen zu verarbeiten – auch ohne Einwilligung. Doch seit dem wegweisenden EuGH-Urteil C-34/21 vom 30. März 2023 ist klar: Nationale Regeln müssen spezifischer sein, als es § 26 BDSG bislang ist.

Die Bundesregierung hat deshalb am 8. Oktober 2024 einen Referentenentwurf für ein eigenes Beschäftigtendatengesetz (BeschDG-E) veröffentlicht. Kommt das Gesetz, wird § 26 BDSG gestrichen.Haufe.de News und Fachwissen Solange das BeschDG jedoch nicht in Kraft ist – realistisch wohl erst 2026 – bleibt § 26 BDSG das Herzstück des Arbeitnehmerdatenschutzes.

2 Gesetzlicher Rahmen:

Die Datenschutz-Grundverordnung gilt unmittelbar. Für den Job-Kontext öffnet Art. 88 DSGVO einen Spielraum: Mitgliedstaaten dürfen „spezifischere Bestimmungen“ erlassen. Genau hier sitzt § 26 BDSG – doch der EuGH hält die Generalklausel für zu allgemein und fordert konkretere Regeln.

Hierarchie in der Praxis

DSGVO (Art. 5–6, Art. 88) – Primärrecht
§ 26 BDSG – nur zulässig, soweit er Art. 88 genügt
Tarifvertrag/Betriebsvereinbarung – § 26 Abs. 4 BDSG
Unternehmensrichtlinie – nur deklaratorisch

3 Wortlaut & Struktur des § 26 BDSG – Absätze 1 bis 4

Absatz	Kernaussage	Praxis-Beispiel
Abs. 1 S. 1	Verarbeitung erforderlich → Arbeitsvertrag	Lohnabteilung speichert IBAN
Abs. 1 S. 2	Aufdeckung von Straftaten	Detektiveinsatz bei Diebstahlverdacht
Abs. 2	Einwilligung des Beschäftigten	Foto auf Intranet-Who-is-Who
Abs. 3	Sensible Daten (Art. 9 DSGVO)	Gesundheitsdaten für BEM
Abs. 4	Kollektivvereinbarung	Betriebsvereinbarung „E-Mail-Monitoring“

4 Rechtmäßigkeit der Datenverarbeitung: „Erforderlichkeit“ in der Praxis

Der Dreh- und Angelpunkt des 26 BDSG Datenschutz ist die Erforderlichkeit (§ 26 Abs. 1 S. 1). Das bedeutet:

Zweck prüfen – gehört die Verarbeitung zum legitimen HR-Ziel?
Geeignetheit – erreicht die Maßnahme den Zweck?
Erforderlichkeit – gibt es kein milderes, gleich effektives Mittel?
Angemessenheit – Überwiegen die Interessen des Unternehmens?

Praxis-Fall: Geotracking eines Lieferfahrers.

Ist das Tracking nötig, um pünktliche Lieferungen sicherzustellen?
Wäre eine Status-Meldung per App ausreichend?
Wenn Tracking 24/7 läuft, überwiegt ggf. die Privatsphäre.

5 Spezialfälle

5.1 Recruiting & Bewerberpool

Bewerbungsdaten dürfen bis zu sechs Monate gespeichert werden (AGG-Klagefrist).
Für Talent-Pool ist i. d. R. eine Einwilligung erforderlich.
Automatisiertes CV-Parsing mit KI verlangt eine DSFA, wenn das Auswahlverfahren erheblich in Rechte eingreift.

5.2 Personalakte

Digital oder Papier: Zugriffs-Kontrolle per Rollen-Konzept.
Bring-your-own-Device? → Nur verschlüsselte Container.

5.3 Video-überwachung

Offene Kamera in der Fertigungshalle möglich, wenn sie Arbeitsschutz dokumentiert.
Verdeckte Kamera nur bei konkretem Verdacht auf Straftat (§ 26 Abs. 1 S. 2) – strenge BAG-Vorgaben.Das Bundesarbeitsgericht

5.4 KI-gestützte Leistungsanalyse

Der BeschDG-Entwurf will erstmals Regeln für „automatisierte Entscheidungsfindung“ schaffen (§ 13 BeschDG-E). Unternehmen müssen künftig jeden Einsatz von KI schriftlich begründen und Transparenz schaffen.

6 Einwilligung nach § 26 Abs. 2 BDSG: freiwillig oder doch nicht?

Die DSGVO betont: Einwilligung muss freiwillig sein. Bei abhängigen Beschäftigungsverhältnissen ist das schwierig. Leitlinie:

Szenario	Einwilligung zulässig?	Alternative
Mitarbeiterfoto Website	Ja, freiwillig, jederzeit widerrufbar	Publikation ohne Bild
GPS-Tracking Außendienst	Nein, zu hoher Druck	Vertragliche Regelung + berechtigtes Interesse
Gesundheits-Screening für Firmenfitness	Ja, wenn rein freiwillig	Anonymisierte Teilnahme

Der BAG-Grundsatz: Fehlerhafte Einwilligung = Verarbeitung unzulässig + Schadensersatz nach Art. 82 DSGVO.

7 Kollektivvereinbarungen & Betriebsrat – § 26 Abs. 4 BDSG

Betriebs- oder Dienstvereinbarungen können konkrete Regeln zu:

Zeiterfassungssystem
E-Mail- und Internetnutzung
Whistleblowing-Hotlines

festlegen. Bedingungen:

Spezifisch & transparent
Zweckbindung
Verhältnismäßig

Der EuGH verlangt, dass auch solche Vereinbarungen „ausreichend präzise“ sind

8 EuGH & BAG Rechtsprechung – die wichtigsten Entscheidungen

Datum	Gericht	Kernaussage
30. 03. 2023	EuGH C-34/21	§ 26 BDSG zu allgemein, muss Art. 88 DSGVO genügen
09. 05. 2023	BAG 1 ABR 14/22	§ 26 BDSG nur wirksam, wenn „spezifisch“ genug; verweist auf EuGH
25. 07. 2024	BAG 8 AZR 225/23	Detektiv-Observation = Gesundheitsdaten; 1 500 € Schadensersatz, kein höherer Anspruch

Konsequenz: Jede Maßnahme muss dokumentiert werden; Verstöße kosten – neben Bußgeldern – Reputation und ggf. Schadensersatz.

9 TOM & Datenschutzfolgeabschätzung (DSFA)

Zugangskontrolle: Zwei-Faktor-Authentifizierung für HR-Systeme
Datenträgerkontrolle: Verschlüsselte Laptops, Mobile-Device-Management
DSFA-Pflicht bei umfangreicher Verarbeitung oder systematischer Überwachung (Art. 35 DSGVO).

Checkliste DSFA:

Beschreibung des Vorgangs (z. B. biometrische Zutrittskontrolle).
Notwendigkeit & Verhältnismäßigkeit bewerten.
Risiken identifizieren (z. B. Missbrauch der biometrischen Templates).
Maßnahmen definieren (z. B. Template-On-Card statt Datenbank).
Ergebnis dokumentieren & DSB beteiligen.

10 Zukunftsausblick: Beschäftigtendatengesetz (BeschDG-E)

Der BeschDG-Entwurf enthält 38 Paragrafen; Highlights:

§ 6 BeschDG-E – Verbot der Verarbeitung biometrischer Daten, es sei denn ausdrückliche Freigabe durch Betriebsrat oder zwingende Anforderungen.
§ 13 BeschDG-E – Regeln für KI-Entscheidungen: kein ausschließlich automatisierter Kündigungsentscheid.
§ 30 BeschDG-E – Erleichterte Konzerndatenverarbeitung. Bei Inkrafttreten wird § 26 BDSG ersatzlos gestrichen. Bestehende Betriebsvereinbarungen müssen innerhalb von 12 Monaten angepasst werden.

Kurz-Fazit zu § 26 BDSG

Herzstück des Beschäftigtendatenschutzes (noch):
Bis zur erwarteten Ablösung durch ein spezielles Beschäftigtendatengesetz (BeschDG, frühestens 2026) bleibt § 26 BDSG die zentrale Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten in Deutschland.
Vier Säulen der Zulässigkeit:
1. Erforderlichkeit für Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses
2. Aufdeckung von Straftaten (eng auszulegen, nur bei konkretem Verdacht)
3. Einwilligung – nur freiwillig und jederzeit widerrufbar
4. Kollektivvereinbarungen – Betriebs-/Dienstvereinbarungen oder Tarifvertrag
EuGH-Kritik & künftige Präzisierung:
Der EuGH (C-34/21, 30. 3. 2023) rügte § 26 als zu allgemein für Art. 88 DSGVO. Der deutsche Gesetzgeber reagiert mit dem BeschDG-Entwurf, der detailliertere Regeln zu biometrischen Daten, KI-Entscheidungen und Löschfristen vorsieht.
Praxis-Implikation 2025:
- Jede Verarbeitung muss streng auf Erforderlichkeit + Verhältnismäßigkeit geprüft und dokumentiert werden.
- Einwilligungen sollten nur für echte „Nice-to-have“-Fälle (z. B. Mitarbeiterfotos) genutzt werden.
- Betriebsvereinbarungen brauchen klare Zweck-, Umfang- und Löschregelungen, um den EuGH-Anforderungen zu genügen.
- DSFA (Art. 35 DSGVO) bleibt Pflicht bei riskanten Verfahren wie Videoüberwachung oder KI-gestützter Leistungsanalyse.
Strategischer Ausblick:
Unternehmen sollten ihre HR- und IT-Prozesse schon jetzt am BeschDG-Entwurf ausrichten (z. B. Verbot rein automatisierter Kündigungsentscheidungen, strengere Regeln für biometrische Zutrittskontrollen), um spätere Anpassungskosten zu minimieren.

11 FAQ zu § 26 BDSG & BeschDG

Gilt § 26 BDSG noch, wenn der EuGH ihn kritisiert?
Ja. Bis ein nationales Gesetz (BeschDG) verabschiedet ist oder der Gesetzgeber § 26 BDSG anpasst, bleibt die Norm anwendbar – aber eng auszulegen.

Wann darf ich Gesundheitsdaten verarbeiten?
Nur wenn es für das Arbeitsverhältnis erforderlich ist (z. B. Gefährdungsbeurteilung) oder eine DSFA & Betriebsrat zustimmen.

Brauche ich immer eine DSFA für Videoüberwachung?
Für offene, weiträumige Kamerasysteme ja; für rein zweckgebundene Zutrittskontrolle ggf. nicht.

Wie lange darf ich Bewerbungsunterlagen speichern?
Sechs Monate nach Absage (§ 15 AGG), außer die Einwilligung erlaubt längere Speicherung im Talent-Pool.

Kommen höhere Bußgelder mit dem BeschDG?
Der Entwurf verweist auf Art. 83 DSGVO (bis 20 Mio. € oder 4 % Umsatz). Neu sind Melde- und Berichtspflichten für KI-Systeme.

Weitere Informationen zum Datenschutz finden Sie auch hier: https://wiemer-arndt.de/

12 Checkliste & Best-Practice-Workflow

Schritt	Aufgabe	Tool
1	Verarbeitungsverzeichnis prüfen	ISO 27701-Mapping
2	Rechtsgrundlage wählen (§ 26 Abs. 1/2/4 BDSG)	Legal-Counsel Review
3	Interessenabwägung dokumentieren	Abwägungs-Template
4	DSFA durchführen (falls nötig)	CNIL-Kriterien
5	Betriebsrat beteiligen	Beschlussprotokoll
6	TOM umsetzen	ISO/IEC 27001-Controls
7	Mitarbeiter informieren (Art. 13/14 DSGVO)	Privacy-Notice
8	Löschfristen definieren	Retention-Policy
9	Schulungen & Awareness	E-Learning-Modul
10	Audit & Review	Jährlicher GAP-Check

AnFragen an die Redaktion