GesetzePreiseDokuBenchmarks

Art. 88 – Datenverarbeitung im Beschäftigungskontext

DSGVO · zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

(1)Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext, insbesondere für Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarung en festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses vorsehen.
(2)Diese Vorschriften umfassen angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz.
(3)Jeder Mitgliedstaat teilt der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften, die er aufgrund von Absatz 1 erlässt, sowie unverzüglich alle späteren Änderungen dieser Vorschriften mit.

Quelle: © Europäische Union, https://eur-lex.europa.eu · konsolidierte Fassung, Stand: 05.02.2025

Zitierende Gerichtsentscheidungen

  • BVerwG, Urt. v. 06.03.2026 – 6 C 7.24ECLI:DE:BVerwG:2026:060326U6C7.24.0

    1. Von einer privaten Krankenversicherung angebotene Vorsorge- und Präventivprogramme wie etwa Coaching-Angebote bei Diabetes, Asthma oder Rückenleiden sind von dem Begriff der Gesundheitsvorsorge im Sinne der in Art. 9 Abs. 2 Buchst. h DSGVO geregelten Ausnahme von dem Verbot der Verarbeitung von Gesundheitsdaten (Art. 9 Abs. 1 DSGVO) umfasst. 2. Als durch Art. 9 Abs. 2 Buchst. h DSGVO geforderte Rechtsgrundlage für die Datenverarbeitung verstößt § 22 Abs. 1 Nr. 1 Buchst. b BDSG weder gegen das unionsrechtliche Normwiederholungsverbot noch gegen Bestimmtheitsanforderungen. 3. § 22 Abs. 1 Nr. 1 Buchst. b BDSG fordert nicht, dass die mit der Verarbeitung der besonders sensiblen Daten befassten Mitarbeiter einer privaten Krankenversicherung neben § 203 Abs. 1 Nr. 7 StGB zusätzlich einer spezifisch berufsrechtlich geregelten Geheimhaltungspflicht unterliegen.

  • BAG, Urt. v. 08.05.2025 – 8 AZR 209/21ECLI:DE:BAG:2025:080525.U.8AZR209.21.0

    Die Verarbeitung personenbezogener Daten, um eine neue Personalverwaltungs-Software zu testen, kann nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO (juris: EUV 2016/679) zur Wahrung der berechtigten Interessen des Arbeitgebers gerechtfertigt sein, sofern entpersonalisierte "Dummy-Daten" zur Erreichung des Testzwecks nicht ausreichen.

  • BGH, Urt. v. 11.02.2025 – VI ZR 365/22ECLI:DE:BGH:2025:110225UVIZR365.22.0

    Zum Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO bei der Verwaltung von Personalakten durch hierzu nicht befugte Dritte.

  • C-65/23 – MK gegen K GmbHECLI:EU:C:2024:1051

    Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 88 Abs. 1 und 2 – Datenverarbeitung im Beschäftigungskontext – Personenbezogene Beschäftigtendaten – Von einem Mitgliedstaat gemäß Art. 88 dieser Verordnung vorgesehene spezifischere Vorschriften – Pflicht zur Einhaltung von Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 dieser Verordnung – Verarbeitung auf der Grundlage einer Kollektivvereinbarung – Spielraum der Parteien der Kollektivvereinbarung in Bezug auf die Erforderlichkeit der darin vorgesehenen Verarbeitung personenbezogener Daten – Umfang der gerichtlichen Überprüfung

  • BAG, Beschl. v. 25.04.2024 – 8 AZR 209/21 (B)ECLI:DE:BAG:2024:250424.B.8AZR209.21B.0
  • BAG, Urt. v. 29.06.2023 – 2 AZR 298/22ECLI:DE:BAG:2023:290623.U.2AZR298.22.0
  • BAG, Beschl. v. 09.05.2023 – 1 ABR 14/22ECLI:DE:BAG:2023:090523.B.1ABR14.22.0

    1. Die Aufgabe des Betriebsrats nach § 80 Abs. 1 Nr. 4 BetrVG iVm. § 176 SGB IX (juris: SGB 9 2018), die Eingliederung schwerbehinderter Menschen zu fördern, erfasst auch die Gruppe der schwerbehinderten und ihnen gleichgestellten leitenden Angestellten. 2. Soweit § 26 Abs. 1 Satz 1 BDSG (juris: BDSG 2018) vorsieht, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies zur Erfüllung eines sich aus dem Gesetz ergebenden Rechts der Interessenvertretung der Beschäftigten erforderlich ist, stellt die Norm eine Rechtsgrundlage iSv. Art. 6 Abs. 3 iVm. Abs. 1 Unterabs. 1 Buchst. c DSGVO (juris: EUV 2016/679) dar. Der Umstand, dass § 26 Abs. 1 Satz 1 BDSG (juris: BDSG 2018) den Vorgaben der Öffnungsklausel in Art. 88 DSGVO (juris: EUV 2016/679) nicht genügt, ist insoweit unerheblich.

  • C-34/21 – Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium gegen Minister des Hessischen KultusministeriumsECLI:EU:C:2023:270

    Vorlage zur Vorabentscheidung – Schutz personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 88 Abs. 1 und 2 – Datenverarbeitung im Beschäftigungskontext – Regionales Schulsystem – Unterricht per Videokonferenz wegen der Covid-19-Pandemie – Durchführung ohne ausdrückliche Einwilligung der Lehrkräfte

  • BAG, EuGH-Vorlage v. 22.09.2022 – 8 AZR 209/21 (A)ECLI:DE:BAG:2022:220922.B.8AZR209.21A.0

    I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht: 1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift - wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG -, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten - einschließlich besonderer Kategorien personenbezogener Daten - von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO - wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO - einzuhalten sind? 2. Sofern die Frage zu 1. bejaht wird: Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift - wie § 26 Abs. 4 BDSG - dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist? 3. Sofern die Frage zu 2. bejaht wird: Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden? 4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden - von einigem Gewicht - darlegt? 5.Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden? 6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden? II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.

  • BAG, EuGH-Vorlage v. 27.04.2021 – 9 AZR 383/19 (A)ECLI:DE:BAG:2021:270421.B.9AZR383.19A.0

    Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung folgender Fragen ersucht: 1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 1 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die Abberufung des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, an die dort genannten Voraussetzungen knüpft, unabhängig davon, ob sie im Wege der Erfüllung seiner Aufgaben erfolgt? Falls die erste Frage bejaht wird: 2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats? Falls die erste Frage bejaht wird: 3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen? Falls die erste Frage verneint wird: 4. Liegt ein Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO vor, wenn der Datenschutzbeauftragte zugleich das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats innehat? Bedarf es für die Annahme eines solchen Interessenkonflikts einer besonderen Aufgabenzuweisung innerhalb des Betriebsrats?

Diese Seite zeigt die aktuelle Fassung (Quelle: © Europäische Union, https://eur-lex.europa.eu). Für tagesaktuelle, zitiersichere Abfragen lässt sich Art. 88 DSGVO und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich Art. 88 DSGVO direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.