§ 26 BDSG – Beschäftigtendatenschutz (Datenverarbeitung im Arbeitsverhältnis)
§ 26 BDSG – Beschäftigtendatenschutz (Datenverarbeitung im Arbeitsverhältnis)
Kurzantwort
§ 26 des Bundesdatenschutzgesetzes (BDSG) ist die nationale Vorschrift für die Verarbeitung personenbezogener Daten von Beschäftigten; sie stützt sich auf die Öffnungsklausel des Art. 88 DSGVO. Nach § 26 Abs. 1 Satz 1 BDSG dürfen Beschäftigtendaten verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses oder für die Rechte und Pflichten der Interessenvertretung erforderlich ist. Wichtige Einschränkung: Das Bundesarbeitsgericht hat mit Urteil vom 8. Mai 2025 (8 AZR 209/21) – im Anschluss an den EuGH (C-34/21 und C-65/23) – entschieden, dass § 26 Abs. 1 Satz 1 BDSG die Anforderungen des Art. 88 DSGVO nicht erfüllt und unangewendet bleiben muss. Datenverarbeitungen im Beschäftigungskontext sind daher unmittelbar an Art. 6 DSGVO (insbesondere lit. b oder f) und Art. 9 DSGVO zu messen.
Kernfakten
| Punkt | Wert |
|---|---|
| Rechtsgrundlage (national) | § 26 BDSG, gestützt auf Öffnungsklausel Art. 88 DSGVO |
| Anwendungsbereich | Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses [§ 26 Abs. 1 S. 1 BDSG] |
| Maßstab Abs. 1 S. 1 | Verarbeitung muss für Begründung, Durchführung oder Beendigung erforderlich sein [§ 26 Abs. 1 S. 1 BDSG] |
| Aufdeckung von Straftaten | nur bei dokumentierten tatsächlichen Anhaltspunkten, Erforderlichkeit und Verhältnismäßigkeit [§ 26 Abs. 1 S. 2 BDSG] |
| Einwilligung | Freiwilligkeit unter Berücksichtigung der Abhängigkeit; grds. schriftlich oder elektronisch; Aufklärung über Zweck und Widerrufsrecht in Textform [§ 26 Abs. 2 BDSG] |
| Besondere Kategorien (Art. 9 DSGVO) | zulässig zur Ausübung von Rechten/Pflichten aus Arbeits- und Sozialrecht, wenn kein überwiegendes Schutzinteresse [§ 26 Abs. 3 BDSG] |
| Kollektivvereinbarungen | Verarbeitung auf Grundlage von Betriebs-/Dienstvereinbarung oder Tarifvertrag zulässig; Art. 88 Abs. 2 DSGVO zu beachten [§ 26 Abs. 4 BDSG] |
| Begriff „Beschäftigte" | Legaldefinition mit 8 Fallgruppen, u. a. Arbeitnehmer, Auszubildende, Leiharbeitnehmer, Beamte [§ 26 Abs. 8 BDSG] |
| Status der Norm | formell in Kraft, Abs. 1 S. 1 jedoch nach BAG 8 AZR 209/21 (08.05.2025) unanwendbar |
| Auffang-Rechtsgrundlage | unmittelbar Art. 6 DSGVO (v. a. lit. b, lit. f) bzw. Art. 9 DSGVO |
Was § 26 BDSG regelt
Absatz 1 – Erforderlichkeit und Straftatenaufdeckung. Beschäftigtendaten dürfen verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, für dessen Durchführung oder Beendigung oder für Rechte und Pflichten der Interessenvertretung erforderlich ist (§ 26 Abs. 1 S. 1 BDSG). Zur Aufdeckung von Straftaten ist die Verarbeitung nur zulässig, wenn dokumentierte tatsächliche Anhaltspunkte einen Straftatverdacht begründen, die Verarbeitung dazu erforderlich ist und kein überwiegendes schutzwürdiges Interesse der beschäftigten Person entgegensteht (§ 26 Abs. 1 S. 2 BDSG).
Absatz 2 – Einwilligung. Bei einer Einwilligung sind für die Freiwilligkeit insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit und die Umstände der Erteilung zu berücksichtigen. Freiwilligkeit kann namentlich vorliegen, wenn die beschäftigte Person einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder gleichgelagerte Interessen verfolgt werden. Die Einwilligung hat grundsätzlich schriftlich oder elektronisch zu erfolgen; der Arbeitgeber muss über Zweck und Widerrufsrecht (Art. 7 Abs. 3 DSGVO) in Textform aufklären.
Absatz 3 – Besondere Kategorien. Die Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO, z. B. Gesundheitsdaten) ist für Beschäftigungszwecke zulässig, soweit sie zur Ausübung von Rechten oder zur Erfüllung von Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein überwiegendes Schutzinteresse besteht.
Absätze 4 bis 7 – Kollektivvereinbarungen, Schutzmaßnahmen, Beteiligungsrechte. Datenverarbeitungen können auf Kollektivvereinbarungen gestützt werden, wobei Art. 88 Abs. 2 DSGVO zu beachten ist (Abs. 4). Der Verantwortliche muss geeignete Maßnahmen ergreifen, damit insbesondere die Grundsätze des Art. 5 DSGVO eingehalten werden (Abs. 5). Beteiligungsrechte der Interessenvertretungen bleiben unberührt (Abs. 6); die Regeln gelten auch außerhalb von Dateisystemen (Abs. 7).
Absatz 8 – Wer ist „Beschäftigter". Die Legaldefinition erfasst u. a. Arbeitnehmerinnen und Arbeitnehmer (einschließlich Leiharbeitnehmer im Verhältnis zum Entleiher), Auszubildende, Rehabilitandinnen und Rehabilitanden, Beschäftigte in anerkannten Werkstätten, Freiwillige im Jugendfreiwilligen- oder Bundesfreiwilligendienst, arbeitnehmerähnliche Personen sowie Beamtinnen und Beamte, Richterinnen und Richter und Soldatinnen und Soldaten.
Wichtige Entwicklung: EuGH und BAG zur Unanwendbarkeit von Abs. 1 S. 1
Der Europäische Gerichtshof hat entschieden, dass eine nationale Vorschrift nur dann eine „spezifischere Vorschrift" im Sinne von Art. 88 Abs. 1 DSGVO ist, wenn sie über eine bloße Wiederholung der DSGVO hinausgeht, einen eigenständigen Regelungsgehalt hat und besondere Schutzmaßnahmen nach Art. 88 Abs. 2 DSGVO vorsieht (EuGH, Urteil vom 30. März 2023, C-34/21; bestätigt durch Urteil vom 19. Dezember 2024, C-65/23).
Das Bundesarbeitsgericht hat diese Vorgaben mit Urteil vom 8. Mai 2025 (8 AZR 209/21) auf § 26 Abs. 1 BDSG angewandt: Die Norm erfülle die Voraussetzungen des Art. 88 Abs. 1 und 2 DSGVO nicht, weil sie keine besonderen Schutzmaßnahmen enthalte, und müsse daher unangewendet bleiben. § 26 Abs. 1 BDSG stelle für die in Streit stehende Verarbeitung keine Rechtsgrundlage im Sinne von Art. 6 Abs. 3 DSGVO dar. Soweit spezifischere Vorschriften fehlen, richtet sich die Verarbeitung im Beschäftigungskontext unmittelbar nach der DSGVO – in der Praxis vor allem nach Art. 6 Abs. 1 lit. b (Erforderlichkeit für den Arbeitsvertrag) oder lit. f (berechtigtes Interesse) sowie Art. 9 DSGVO für besondere Datenkategorien.
Ausblick: Beschäftigtendatengesetz (BeschDG)
Um die durch die Rechtsprechung entstandene Lücke zu schließen, haben das BMAS und das BMI am 8. Oktober 2024 einen Referentenentwurf für ein „Beschäftigtendatengesetz" (BeschDG) vorgelegt. Der Entwurf (30 Paragrafen) soll eigenständige Rechtsgrundlagen, besondere Schutzmaßnahmen sowie Regeln u. a. zu Videoüberwachung, Ortung, KI-Einsatz und Löschpflichten enthalten. Das Gesetz ist bislang nicht in Kraft; § 26 BDSG bleibt formell die nationale Norm, ist aber in seinem Kern (Abs. 1 S. 1) nach der Rechtsprechung unanwendbar.
Häufige Missverständnisse
- „§ 26 BDSG ist aufgehoben." Nein. Die Norm steht weiterhin im Gesetz; lediglich Abs. 1 S. 1 ist nach EuGH/BAG als alleinige Rechtsgrundlage unanwendbar. Andere Absätze (z. B. Abs. 2 zur Einwilligung) behalten praktische Bedeutung.
- „Ohne § 26 BDSG ist Datenverarbeitung im Job verboten." Nein. Sie ist weiterhin zulässig, aber unmittelbar an Art. 6 bzw. Art. 9 DSGVO zu messen.
- „Die Einwilligung des Arbeitnehmers reicht immer." Wegen des Abhängigkeitsverhältnisses ist die Freiwilligkeit besonders zu prüfen (§ 26 Abs. 2 BDSG); eine Einwilligung ist oft nicht die tragfähigste Grundlage.
Quellen
- § 26 BDSG – Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (gesetze-im-internet.de):: https://www.gesetze-im-internet.de/bdsg_2018/__26.html
- Verordnung (EU) 2016/679 (DSGVO) – Art. 88 Öffnungsklausel, Volltext (EUR-Lex):: https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679
- Bundesarbeitsgericht, Urteil vom 8. Mai 2025 – 8 AZR 209/21 (Entscheidungsübersicht):: https://www.bundesarbeitsgericht.de/entscheidung/8-azr-209-21/
- Bundesarbeitsgericht, Urteil vom 8. Mai 2025 – 8 AZR 209/21 (Volltext, PDF):: https://www.bundesarbeitsgericht.de/wp-content/uploads/2025/08/8-AZR-209-21.pdf
Änderungsverlauf
- 2026-06-01: Erstveröffentlichung. § 26 BDSG im Wortlaut gegen gesetze-im-internet.de geprüft; Rechtsprechungsstand (EuGH C-34/21, C-65/23; BAG 8 AZR 209/21 vom 08.05.2025) und Stand des BeschDG-Referentenentwurfs ergänzt. Alle Quellen-URLs auf HTTP 200 getestet.
Stand
- Stand: 2026-06-01
- Gültig ab: 2018-05-25 (Geltungsbeginn von BDSG-neu und DSGVO)
- Status: aktuell (Norm formell in Kraft; Abs. 1 S. 1 nach BAG 8 AZR 209/21 unanwendbar)
- Quellenautorität: A (gesetze-im-internet.de, EUR-Lex, Bundesarbeitsgericht)
- Lizenz: CC BY 4.0