GesetzePreiseDokuBenchmarks

§ 26 – Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses

BDSG · Bundesdatenschutzgesetz

(1)Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
(2)Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung hat schriftlich oder elektronisch zu erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 2016/679 in Textform aufzuklären.
(3)Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Absatz 2 gilt auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. § 22 Absatz 2 gilt entsprechend.
(4)Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.
(5)Der Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.
(6)Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.
(7)Die Absätze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
(8)Beschäftigte im Sinne dieses Gesetzes sind: 1.Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
2.zu ihrer Berufsbildung Beschäftigte,
3.Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
4.in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
5.Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,
6.Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
7.Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.
Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte.

Quelle: Gesetze im Internet (www.gesetze-im-internet.de), gemeinfrei gem. § 5 UrhG · aktuelle Fassung

Zitierende Gerichtsentscheidungen

  • BAG, Urt. v. 08.05.2025 – 8 AZR 209/21ECLI:DE:BAG:2025:080525.U.8AZR209.21.0

    Die Verarbeitung personenbezogener Daten, um eine neue Personalverwaltungs-Software zu testen, kann nach Art. 6 Abs. 1 Unterabs. 1 Buchst. f DSGVO (juris: EUV 2016/679) zur Wahrung der berechtigten Interessen des Arbeitgebers gerechtfertigt sein, sofern entpersonalisierte "Dummy-Daten" zur Erreichung des Testzwecks nicht ausreichen.

  • BGH, Urt. v. 11.02.2025 – VI ZR 365/22ECLI:DE:BGH:2025:110225UVIZR365.22.0

    Zum Anspruch auf Schadensersatz nach Art. 82 Abs. 1 DSGVO bei der Verwaltung von Personalakten durch hierzu nicht befugte Dritte.

  • C-65/23 – MK gegen K GmbHECLI:EU:C:2024:1051

    Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 88 Abs. 1 und 2 – Datenverarbeitung im Beschäftigungskontext – Personenbezogene Beschäftigtendaten – Von einem Mitgliedstaat gemäß Art. 88 dieser Verordnung vorgesehene spezifischere Vorschriften – Pflicht zur Einhaltung von Art. 5, Art. 6 Abs. 1 sowie Art. 9 Abs. 1 und 2 dieser Verordnung – Verarbeitung auf der Grundlage einer Kollektivvereinbarung – Spielraum der Parteien der Kollektivvereinbarung in Bezug auf die Erforderlichkeit der darin vorgesehenen Verarbeitung personenbezogener Daten – Umfang der gerichtlichen Überprüfung

  • BAG, Urt. v. 21.08.2024 – 5 AZR 169/23ECLI:DE:BAG:2024:210824.U.5AZR169.23.0
  • BAG, Urt. v. 25.07.2024 – 8 AZR 225/23ECLI:DE:BAG:2024:250724.U.8AZR225.23.0

    Lässt ein Arbeitgeber einen Arbeitnehmer wegen des Verdachts einer vorgetäuschten Arbeitsunfähigkeit durch eine Detektei überwachen und dokumentiert diese dabei den sichtbaren Gesundheitszustand des Arbeitnehmers, handelt es sich um die Verarbeitung von Gesundheitsdaten im Sinne der Datenschutz-Grundverordnung.

  • BAG, Beschl. v. 25.04.2024 – 8 AZR 209/21 (B)ECLI:DE:BAG:2024:250424.B.8AZR209.21B.0
  • BAG, Beschl. v. 09.05.2023 – 1 ABR 14/22ECLI:DE:BAG:2023:090523.B.1ABR14.22.0

    1. Die Aufgabe des Betriebsrats nach § 80 Abs. 1 Nr. 4 BetrVG iVm. § 176 SGB IX (juris: SGB 9 2018), die Eingliederung schwerbehinderter Menschen zu fördern, erfasst auch die Gruppe der schwerbehinderten und ihnen gleichgestellten leitenden Angestellten. 2. Soweit § 26 Abs. 1 Satz 1 BDSG (juris: BDSG 2018) vorsieht, dass personenbezogene Daten von Beschäftigten verarbeitet werden dürfen, wenn dies zur Erfüllung eines sich aus dem Gesetz ergebenden Rechts der Interessenvertretung der Beschäftigten erforderlich ist, stellt die Norm eine Rechtsgrundlage iSv. Art. 6 Abs. 3 iVm. Abs. 1 Unterabs. 1 Buchst. c DSGVO (juris: EUV 2016/679) dar. Der Umstand, dass § 26 Abs. 1 Satz 1 BDSG (juris: BDSG 2018) den Vorgaben der Öffnungsklausel in Art. 88 DSGVO (juris: EUV 2016/679) nicht genügt, ist insoweit unerheblich.

  • BAG, Urt. v. 18.01.2023 – 5 AZR 93/22ECLI:DE:BAG:2023:180123.U.5AZR93.22.0

    Die Abstufung der Darlegungslast beim Streit über das Vorliegen einer neuen Erkrankung iSv. § 3 Abs. 1 Satz 1 und Satz 2 EFZG, wonach der Arbeitnehmer Tatsachen vorzutragen hat, die den Schluss erlauben, es habe keine Fortsetzungserkrankung bestanden, begegnet weder unions- noch verfassungsrechtlichen Bedenken. Dem steht nicht entgegen, dass der hiernach erforderliche Vortrag im Regelfall mit der Offenlegung der einzelnen zur Arbeitsunfähigkeit führenden Erkrankungen im maßgeblichen Zeitraum verbunden ist.

  • BAG, EuGH-Vorlage v. 22.09.2022 – 8 AZR 209/21 (A)ECLI:DE:BAG:2022:220922.B.8AZR209.21A.0

    I. Der Gerichtshof der Europäischen Union wird gemäß Art. 267 AEUV um Vorabentscheidung über die Fragen ersucht: 1. Ist eine nach Art. 88 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) erlassene nationale Rechtsvorschrift - wie etwa § 26 Abs. 4 Bundesdatenschutzgesetz, im Folgenden BDSG -, in der bestimmt ist, dass die Verarbeitung personenbezogener Daten - einschließlich besonderer Kategorien personenbezogener Daten - von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen unter Beachtung von Art. 88 Abs. 2 DSGVO zulässig ist, dahin auszulegen, dass stets auch die sonstigen Vorgaben der DSGVO - wie etwa Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO - einzuhalten sind? 2. Sofern die Frage zu 1. bejaht wird: Darf eine nach Art. 88 Abs. 1 DSGVO erlassene nationale Rechtsvorschrift - wie § 26 Abs. 4 BDSG - dahin ausgelegt werden, dass den Parteien einer Kollektivvereinbarung (hier den Parteien einer Betriebsvereinbarung) bei der Beurteilung der Erforderlichkeit der Datenverarbeitung im Sinne der Art. 5, Art. 6 Abs. 1 und Art. 9 Abs. 1 und Abs. 2 DSGVO ein Spielraum zusteht, der gerichtlich nur eingeschränkt überprüfbar ist? 3. Sofern die Frage zu 2. bejaht wird: Worauf darf in einem solchen Fall die gerichtliche Kontrolle beschränkt werden? 4. Ist Art. 82 Abs. 1 DSGVO dahin auszulegen, dass Personen ein Recht auf Ersatz des immateriellen Schadens bereits dann haben, wenn ihre personenbezogenen Daten entgegen den Vorgaben der DSGVO verarbeitet wurden oder setzt der Anspruch auf Ersatz des immateriellen Schadens darüber hinaus voraus, dass die betroffene Person einen von ihr erlittenen immateriellen Schaden - von einigem Gewicht - darlegt? 5.Hat Art. 82 Abs. 1 DSGVO spezial- bzw. generalpräventiven Charakter und muss dies bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO zulasten des Verantwortlichen bzw. Auftragsverarbeiters berücksichtigt werden? 6. Kommt es bei der Bemessung der Höhe des zu ersetzenden immateriellen Schadens auf der Grundlage von Art. 82 Abs. 1 DSGVO auf den Grad des Verschuldens des Verantwortlichen bzw. Auftragsverarbeiters an? Insbesondere, darf ein nicht vorliegendes oder geringes Verschulden auf Seiten des Verantwortlichen bzw. Auftragsverarbeiters zu dessen Gunsten berücksichtigt werden? II. Das Revisionsverfahren wird bis zur Entscheidung des Gerichtshofs der Europäischen Union über das Vorabentscheidungsersuchen ausgesetzt.

  • BAG, Urt. v. 01.06.2022 – 5 AZR 28/22ECLI:DE:BAG:2022:010622.U.5AZR28.22.0

    Der Arbeitgeber kann in Umsetzung der ihn treffenden arbeitsschutzrechtlichen Verpflichtungen nach § 618 Abs. 1 BGB iVm. § 106 Satz 2 GewO berechtigt sein, auf Grundlage eines betrieblichen Schutz- und Hygienekonzepts Corona-Tests einseitig anzuordnen.

Diese Seite zeigt die aktuelle Fassung (Quelle: Gesetze im Internet (www.gesetze-im-internet.de), gemeinfrei gem. § 5 UrhG). Für tagesaktuelle, zitiersichere Abfragen lässt sich § 26 BDSG und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich § 26 BDSG direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.