Nexvyra

§ 26 BDSG – Beschäftigtendatenschutz (Datenverarbeitung im Arbeitsverhältnis)

Inhaltlich verantwortet von Andreas Warkentin (warepoint-media GbR) · zuletzt geprüft am 2026-06-01 · Quellenautorität A (amtliche Primärquelle) Fehler melden ✉

§ 26 BDSG – Beschäftigtendatenschutz (Datenverarbeitung im Arbeitsverhältnis)

Kurzantwort

§ 26 des Bundesdatenschutzgesetzes (BDSG) ist die nationale Vorschrift für die Verarbeitung personenbezogener Daten von Beschäftigten; sie stützt sich auf die Öffnungsklausel des Art. 88 DSGVO. Nach § 26 Abs. 1 Satz 1 BDSG dürfen Beschäftigtendaten verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses oder für die Rechte und Pflichten der Interessenvertretung erforderlich ist. Wichtige Einschränkung: Das Bundesarbeitsgericht hat mit Urteil vom 8. Mai 2025 (8 AZR 209/21) – im Anschluss an den EuGH (C-34/21 und C-65/23) – entschieden, dass § 26 Abs. 1 Satz 1 BDSG die Anforderungen des Art. 88 DSGVO nicht erfüllt und unangewendet bleiben muss. Datenverarbeitungen im Beschäftigungskontext sind daher unmittelbar an Art. 6 DSGVO (insbesondere lit. b oder f) und Art. 9 DSGVO zu messen.

Kernfakten

PunktWert
Rechtsgrundlage (national)§ 26 BDSG, gestützt auf Öffnungsklausel Art. 88 DSGVO
AnwendungsbereichVerarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses [§ 26 Abs. 1 S. 1 BDSG]
Maßstab Abs. 1 S. 1Verarbeitung muss für Begründung, Durchführung oder Beendigung erforderlich sein [§ 26 Abs. 1 S. 1 BDSG]
Aufdeckung von Straftatennur bei dokumentierten tatsächlichen Anhaltspunkten, Erforderlichkeit und Verhältnismäßigkeit [§ 26 Abs. 1 S. 2 BDSG]
EinwilligungFreiwilligkeit unter Berücksichtigung der Abhängigkeit; grds. schriftlich oder elektronisch; Aufklärung über Zweck und Widerrufsrecht in Textform [§ 26 Abs. 2 BDSG]
Besondere Kategorien (Art. 9 DSGVO)zulässig zur Ausübung von Rechten/Pflichten aus Arbeits- und Sozialrecht, wenn kein überwiegendes Schutzinteresse [§ 26 Abs. 3 BDSG]
KollektivvereinbarungenVerarbeitung auf Grundlage von Betriebs-/Dienstvereinbarung oder Tarifvertrag zulässig; Art. 88 Abs. 2 DSGVO zu beachten [§ 26 Abs. 4 BDSG]
Begriff „Beschäftigte"Legaldefinition mit 8 Fallgruppen, u. a. Arbeitnehmer, Auszubildende, Leiharbeitnehmer, Beamte [§ 26 Abs. 8 BDSG]
Status der Normformell in Kraft, Abs. 1 S. 1 jedoch nach BAG 8 AZR 209/21 (08.05.2025) unanwendbar
Auffang-Rechtsgrundlageunmittelbar Art. 6 DSGVO (v. a. lit. b, lit. f) bzw. Art. 9 DSGVO

Was § 26 BDSG regelt

Absatz 1 – Erforderlichkeit und Straftatenaufdeckung. Beschäftigtendaten dürfen verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, für dessen Durchführung oder Beendigung oder für Rechte und Pflichten der Interessenvertretung erforderlich ist (§ 26 Abs. 1 S. 1 BDSG). Zur Aufdeckung von Straftaten ist die Verarbeitung nur zulässig, wenn dokumentierte tatsächliche Anhaltspunkte einen Straftatverdacht begründen, die Verarbeitung dazu erforderlich ist und kein überwiegendes schutzwürdiges Interesse der beschäftigten Person entgegensteht (§ 26 Abs. 1 S. 2 BDSG).

Absatz 2 – Einwilligung. Bei einer Einwilligung sind für die Freiwilligkeit insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit und die Umstände der Erteilung zu berücksichtigen. Freiwilligkeit kann namentlich vorliegen, wenn die beschäftigte Person einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder gleichgelagerte Interessen verfolgt werden. Die Einwilligung hat grundsätzlich schriftlich oder elektronisch zu erfolgen; der Arbeitgeber muss über Zweck und Widerrufsrecht (Art. 7 Abs. 3 DSGVO) in Textform aufklären.

Absatz 3 – Besondere Kategorien. Die Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO, z. B. Gesundheitsdaten) ist für Beschäftigungszwecke zulässig, soweit sie zur Ausübung von Rechten oder zur Erfüllung von Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein überwiegendes Schutzinteresse besteht.

Absätze 4 bis 7 – Kollektivvereinbarungen, Schutzmaßnahmen, Beteiligungsrechte. Datenverarbeitungen können auf Kollektivvereinbarungen gestützt werden, wobei Art. 88 Abs. 2 DSGVO zu beachten ist (Abs. 4). Der Verantwortliche muss geeignete Maßnahmen ergreifen, damit insbesondere die Grundsätze des Art. 5 DSGVO eingehalten werden (Abs. 5). Beteiligungsrechte der Interessenvertretungen bleiben unberührt (Abs. 6); die Regeln gelten auch außerhalb von Dateisystemen (Abs. 7).

Absatz 8 – Wer ist „Beschäftigter". Die Legaldefinition erfasst u. a. Arbeitnehmerinnen und Arbeitnehmer (einschließlich Leiharbeitnehmer im Verhältnis zum Entleiher), Auszubildende, Rehabilitandinnen und Rehabilitanden, Beschäftigte in anerkannten Werkstätten, Freiwillige im Jugendfreiwilligen- oder Bundesfreiwilligendienst, arbeitnehmerähnliche Personen sowie Beamtinnen und Beamte, Richterinnen und Richter und Soldatinnen und Soldaten.

Wichtige Entwicklung: EuGH und BAG zur Unanwendbarkeit von Abs. 1 S. 1

Der Europäische Gerichtshof hat entschieden, dass eine nationale Vorschrift nur dann eine „spezifischere Vorschrift" im Sinne von Art. 88 Abs. 1 DSGVO ist, wenn sie über eine bloße Wiederholung der DSGVO hinausgeht, einen eigenständigen Regelungsgehalt hat und besondere Schutzmaßnahmen nach Art. 88 Abs. 2 DSGVO vorsieht (EuGH, Urteil vom 30. März 2023, C-34/21; bestätigt durch Urteil vom 19. Dezember 2024, C-65/23).

Das Bundesarbeitsgericht hat diese Vorgaben mit Urteil vom 8. Mai 2025 (8 AZR 209/21) auf § 26 Abs. 1 BDSG angewandt: Die Norm erfülle die Voraussetzungen des Art. 88 Abs. 1 und 2 DSGVO nicht, weil sie keine besonderen Schutzmaßnahmen enthalte, und müsse daher unangewendet bleiben. § 26 Abs. 1 BDSG stelle für die in Streit stehende Verarbeitung keine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO dar. Soweit spezifischere Vorschriften fehlen, richtet sich die Verarbeitung im Beschäftigungskontext unmittelbar nach der DSGVO – in der Praxis vor allem nach Art. 6 Abs. 1 lit. b (Erforderlichkeit für den Arbeitsvertrag) oder lit. f (berechtigtes Interesse) sowie Art. 9 DSGVO für besondere Datenkategorien.

Ausblick: Beschäftigtendatengesetz (BeschDG)

Um die durch die Rechtsprechung entstandene Lücke zu schließen, haben das BMAS und das BMI am 8. Oktober 2024 einen Referentenentwurf für ein „Beschäftigtendatengesetz" (BeschDG) vorgelegt. Der Entwurf (30 Paragrafen) soll eigenständige Rechtsgrundlagen, besondere Schutzmaßnahmen sowie Regeln u. a. zu Videoüberwachung, Ortung, KI-Einsatz und Löschpflichten enthalten. Das Gesetz ist bislang nicht in Kraft; § 26 BDSG bleibt formell die nationale Norm, ist aber in seinem Kern (Abs. 1 S. 1) nach der Rechtsprechung unanwendbar.

Häufige Missverständnisse

Quellen

Änderungsverlauf

Stand