Beschäftigtendatenschutz in Hamburg

Inhalt in Kürze

• Der Beschäftigtendatenschutz basiert auf § 26 BDSG und Art. 88 DSGVO. Ein eigenes Beschäftigtendatenschutzgesetz fehlt weiterhin — die Rechtslage bleibt fragmentiert.
• GPS-Tracking, Videoüberwachung, Homeoffice-Monitoring und KI-Screening sind datenschutzrechtliche Hochrisikobereiche. Der HmbBfDI prüft hier besonders genau.
• Arbeitgeber müssen eine Interessenabwägung zwischen Betriebsinteresse und Persönlichkeitsrecht der Beschäftigten dokumentieren. Die Einwilligung im Beschäftigungsverhältnis ist wegen fehlender Freiwilligkeit problematisch.
• frag.hugo berät Hamburger Unternehmen zum Beschäftigtendatenschutz — von der Betriebsvereinbarung bis zur DSFA.

Beschäftigtendatenschutz – warum er für Hamburger Unternehmen zum Risiko wird

Jedes Unternehmen verarbeitet personenbezogene Daten seiner Mitarbeiter – vom Bewerbungseingang über die Gehaltsabrechnung bis zum Arbeitszeugnis. Was viele Arbeitgeber unterschätzen: Der Beschäftigtendatenschutz ist einer der fehleranfälligsten Bereiche der DSGVO. Die Rechtsgrundlagen sind komplex, die Erwartungen der Aufsichtsbehörden hoch, und ein einziger Fehler – etwa eine unzulässige Videoüberwachung oder ein falsch konfiguriertes GPS-Tracking – kann zu empfindlichen Bußgeldern und Schadensersatzforderungen führen.

In Hamburg hat der HmbBfDI (Hamburger Beauftragte für Datenschutz und Informationsfreiheit) den Beschäftigtendatenschutz wiederholt als Prüfungsschwerpunkt benannt. Gerade in einer Stadt mit großen Arbeitgebern in Logistik, Hafen, Handel, Medien und Finanzdienstleistung treffen viele Datenverarbeitungen aufeinander, die besondere Sorgfalt erfordern.

Die Rechtsgrundlage: § 26 BDSG und Art. 88 DSGVO

Der Beschäftigtendatenschutz ist in Deutschland primär in § 26 BDSG geregelt, der auf der Öffnungsklausel des Art. 88 DSGVO basiert. Danach dürfen personenbezogene Daten von Beschäftigten verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Klingt einfach – ist es aber nicht. Denn was „erforderlich” bedeutet, ist in der Praxis ein dauerhaftes Minenfeld. In jeder Phase des Arbeitsverhältnisses — von der Bewerbung über die tägliche Zusammenarbeit bis zum Offboarding — fallen personenbezogene Daten an, die rechtssicher verarbeitet werden müssen.

Hinzu kommt: Ein eigenständiges Beschäftigtendatenschutzgesetz, das für Klarheit sorgen sollte, wird in Deutschland seit über zehn Jahren diskutiert. Ein Referentenentwurf des Bundesarbeitsministeriums lag vor, wurde aber bislang nicht verabschiedet. Unternehmen müssen daher weiterhin mit einer fragmentierten Rechtslage umgehen – eine Mischung aus DSGVO, BDSG, Betriebsverfassungsgesetz, Arbeitszeitgesetz und Rechtsprechung. Die korrekte Datenverarbeitung von Beschäftigtendaten im gesamten Arbeitsverhältnis — von der Begründung bis zur Beendigung — bleibt eine zentrale Herausforderung für Arbeitgeber und Arbeitnehmer gleichermaßen.

Die häufigsten Problemfelder im Beschäftigtendatenschutz

Bewerbungsverfahren und Recruiting

Bereits vor der Einstellung beginnt die Datenverarbeitung. Häufige Fehler:

• Unzulässige Fragen im Bewerbungsgespräch (Schwangerschaft, Gewerkschaftszugehörigkeit, Gesundheitszustand)
• Fehlende Löschfristen: Bewerberdaten abgelehnter Kandidaten müssen spätestens nach sechs Monaten gelöscht werden
• Talentpools ohne wirksame Einwilligung
• KI-gestütztes Bewerberscreening ohne Transparenz und Datenschutz-Folgenabschätzung
• Background Checks über soziale Medien ohne Rechtsgrundlage

GPS-Tracking von Firmenfahrzeugen

Für Hamburger Logistik- und Speditionsunternehmen, die täglich Hunderte Fahrzeuge im Hafen und in der Metropolregion bewegen, ist GPS-Tracking operativ unverzichtbar. Datenschutzrechtlich ist es jedoch hochsensibel:

• GPS-Tracking zur Tourenplanung kann zulässig sein – permanente Verhaltenskontrolle ist es nicht
• Beschäftigte müssen vorab informiert werden (Art. 13 DSGVO)
• Eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist in der Regel Pflicht
• Bei Existenz eines Betriebsrats besteht ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG
• Private Nutzung des Fahrzeugs muss berücksichtigt werden (Tracking nur während der Arbeitszeit)

Videoüberwachung am Arbeitsplatz

Kameras im Lager, in der Produktion, am Empfang – in Hamburg sind Videoüberwachungen im Beschäftigungskontext weit verbreitet. Die Rechtsprechung setzt jedoch enge Grenzen:

• Dauerhafte Überwachung von Arbeitsplätzen ist grundsätzlich unzulässig
• Kameras in Umkleiden, Toiletten und Pausenräumen sind absolut verboten
• Verdeckte Videoüberwachung ist nur in extremen Ausnahmefällen und bei konkretem Verdacht einer Straftat zulässig
• Aufnahmen müssen nach spätestens 72 Stunden gelöscht werden, wenn kein Anlassfall vorliegt
• Der HmbBfDI hat in der Vergangenheit Bußgelder für unzulässige Videoüberwachung in Hamburger Unternehmen verhängt

E-Mail- und Internetnutzung

Dürfen Sie die dienstliche E-Mail-Nutzung Ihrer Mitarbeiter überwachen? Das hängt davon ab, ob Sie die private Nutzung erlaubt oder verboten haben:

• Private Nutzung verboten: Sie dürfen dienstliche E-Mails im Rahmen des Erforderlichen einsehen – aber nicht systematisch und anlasslos durchsuchen
• Private Nutzung erlaubt: Sie werden faktisch zum Telekommunikationsanbieter und dürfen E-Mails grundsätzlich nicht mitlesen – eine Situation, die viele Unternehmen ungewollt in eine rechtliche Falle führt

Unsere Empfehlung: Regeln Sie die private Nutzung von E-Mail und Internet in einer Betriebsvereinbarung oder einer klaren Richtlinie. So schaffen Sie Rechtssicherheit für beide Seiten.

Homeoffice und Remote Work

Seit der Pandemie ist Homeoffice in Hamburger Unternehmen Standard. Datenschutzrechtlich bringt es neue Herausforderungen:

• Technische Maßnahmen: VPN-Pflicht, Bildschirmsperre, verschlüsselte Festplatten, keine Verarbeitung auf privaten Geräten ohne BYOD-Richtlinie
• Überwachungstools: Keylogger, Screenshottools und permanente Webcam-Überwachung sind unzulässig
• Zutrittsrecht: Sie können nicht einfach die Privatwohnung des Mitarbeiters auf Datenschutz-Compliance prüfen
• Homeoffice-Vereinbarung: Regeln Sie Datenschutzpflichten schriftlich – idealerweise als Ergänzung zum Arbeitsvertrag

BYOD – Private Geräte dienstlich nutzen

Wenn Mitarbeiter private Smartphones oder Laptops dienstlich nutzen (Bring Your Own Device), vermischen sich private und dienstliche Daten. Ohne klare Regelung entstehen erhebliche Risiken:

• Wer hat Zugriff auf welche Daten?
• Was passiert bei Verlust oder Diebstahl des Geräts?
• Darf der Arbeitgeber das private Gerät fernlöschen?
• Wie werden dienstliche Daten beim Ausscheiden des Mitarbeiters entfernt?

Eine BYOD-Richtlinie mit technischen Schutzvorkehrungen (Container-Lösung, MDM) ist zwingend erforderlich.

Betriebsrat und Mitbestimmung im Arbeitsverhältnis

Existiert in Ihrem Unternehmen ein Betriebsrat, hat dieser bei vielen Fragen des Beschäftigtendatenschutzes ein Mitbestimmungsrecht – insbesondere bei:

• Einführung technischer Überwachungseinrichtungen (§ 87 Abs. 1 Nr. 6 BetrVG)
• Gestaltung von Fragebögen und Beurteilungsgrundsätzen
• Betriebsvereinbarungen zum Datenschutz (die als eigenständige Rechtsgrundlage nach Art. 88 Abs. 1 DSGVO dienen können)

Betriebsvereinbarungen können den Datenschutz im Arbeitsverhältnis konkretisieren – sie dürfen aber nicht hinter das Schutzniveau der DSGVO zurückfallen. Gerade bei der Einführung neuer Technologien im Arbeitsverhältnis — etwa KI-gestützte HR-Tools oder Zeiterfassungssysteme — ist die Betriebsvereinbarung ein zentrales Instrument für die Datenverarbeitung von Beschäftigtendaten. Der Arbeitgeber muss sicherstellen, dass die Regelungen sowohl den Interessen der Arbeitnehmer als auch den betrieblichen Anforderungen gerecht werden.

Krankmeldungen und Gesundheitsdaten

Gesundheitsdaten sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO und unterliegen einem erhöhten Schutz. Häufige Fehler:

• Weitergabe von Diagnosen an Kollegen oder Vorgesetzte, die diese nicht kennen müssen
• Speicherung von Attesten mit Diagnosedetails über die gesetzliche Aufbewahrungsfrist hinaus
• Fehlende Zugriffsbeschränkungen in der Personalabteilung

Mitarbeiterfotos auf der Website

Viele Hamburger Unternehmen zeigen ihr Team auf der Website – ein sympathischer Auftritt, aber datenschutzrechtlich nicht trivial:

• Eine wirksame Einwilligung ist erforderlich (Art. 6 Abs. 1 lit. a DSGVO)
• Die Einwilligung muss freiwillig sein – gerade im Beschäftigungsverhältnis ist die Freiwilligkeit kritisch zu prüfen
• Bei Ausscheiden muss das Foto auf Wunsch zeitnah entfernt werden
• Fotos auf Social Media oder in Druckmaterialien erfordern ggf. eine erweiterte Einwilligung

Bußgelder und Durchsetzung

Die Aufsichtsbehörden nehmen den Beschäftigtendatenschutz ernst. Ausgewählte Beispiele aus der Praxis:

• 35,3 Mio. Euro Bußgeld gegen ein Handelsunternehmen wegen systematischer Überwachung von Mitarbeitern (BfDI)
• 10,4 Mio. Euro Bußgeld wegen unzulässiger Videoüberwachung im Lager
• Zahlreiche Bußgelder im fünf- und sechsstelligen Bereich wegen fehlender oder fehlerhafter Informationspflichten gegenüber Beschäftigten

Neben Bußgeldern drohen Schadensersatzansprüche der betroffenen Mitarbeiter nach Art. 82 DSGVO – und diese werden zunehmend vor Arbeitsgerichten geltend gemacht.

So unterstützt frag.hugo Ihr Unternehmen

Als Hamburger Beratungsunternehmen mit über 25 Jahren Erfahrung in Datenschutz und Informationssicherheit kennen wir die typischen Fallstricke im Beschäftigtendatenschutz – und wissen, wie Hamburger Unternehmen sie pragmatisch lösen.

1. Beschäftigtendatenschutz-Audit

Wir prüfen systematisch, wie Ihr Unternehmen personenbezogene Daten von Beschäftigten verarbeitet – vom Bewerbermanagement bis zum Offboarding. Sie erhalten einen konkreten Maßnahmenplan mit priorisierten Handlungsempfehlungen. Unser DSGVO-Audit deckt alle relevanten Bereiche ab.

2. Richtlinien und Betriebsvereinbarungen

Wir erstellen für Sie praxistaugliche Dokumente:

• E-Mail- und Internetnutzungsrichtlinie
• BYOD-Richtlinie mit Container-Konzept
• Homeoffice-Vereinbarung mit Datenschutz-Anhang
• Betriebsvereinbarung Videoüberwachung
• Richtlinie GPS-Tracking für Fuhrparks
• Einwilligungserklärung Mitarbeiterfotos

3. Schulung und Sensibilisierung

Ihre HR-Abteilung und Führungskräfte brauchen praxisnahes Wissen zum Beschäftigtendatenschutz. In unserer Datenschutz-Schulung vermitteln wir die rechtlichen Grundlagen und typische Alltagssituationen – verständlich und ohne Juristendeutsch.

4. Laufende Betreuung als externer Datenschutzbeauftragter

Als Ihr externer Datenschutzbeauftragter überwachen wir die Einhaltung des Beschäftigtendatenschutzes dauerhaft, beraten bei neuen HR-Tools und -Prozessen und sind Ansprechpartner für Mitarbeiteranfragen. Ergänzend bieten wir umfassende DSGVO-Beratung für alle Unternehmensbereiche.

Grundlagen und aktuelle gesetzliche Entwicklungen

Tätigkeitsbericht Datenschutz: Was der HmbBfDI prüft

In seinen jährlichen Tätigkeitsberichten hebt der HmbBfDI (Thomas Fuchs) regelmäßig den Beschäftigtendatenschutz als Schwerpunktthema hervor. Häufige Beanstandungen betreffen:

• Unzulässige Überwachung durch technische Einrichtungen ohne Betriebsratseinbindung
• Fehlende oder mangelhafte Informationspflichten gegenüber Beschäftigten (Art. 13/14 DSGVO)
• Übermäßige Datenerhebung im Bewerbungsverfahren
• Fehlende Löschkonzepte für Personalakten und Bewerberdaten
• Betriebliche Nutzung von Tools zur Leistungskontrolle ohne Rechtsgrundlage

Die Datenschutzsprechstunde des HmbBfDI bietet Hamburger Arbeitgebern die Möglichkeit, konkrete Fragen zum Beschäftigtendatenschutz zu klären — ein Angebot, das wir unseren Mandanten regelmäßig empfehlen.

Einwilligung vs. Interessenabwägung im Beschäftigungsverhältnis

Die Einwilligung als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten ist problematisch, weil im Arbeitsverhältnis ein strukturelles Ungleichgewicht besteht. Arbeitnehmer stehen unter Druck, Einwilligungen zu erteilen — die Freiwilligkeit nach Art. 7 DSGVO ist daher kritisch zu prüfen.

In der Praxis empfehlen wir, wo immer möglich auf die Erforderlichkeit nach § 26 Abs. 1 BDSG oder eine Betriebsvereinbarung als Rechtsgrundlage zu setzen. Die Betriebsvereinbarung hat den Vorteil, dass sie gemeinsam mit dem Betriebsrat erarbeitet wird und als eigenständige Rechtsgrundlage nach Art. 88 Abs. 1 DSGVO fungiert — vorausgesetzt, sie unterschreitet das Schutzniveau der DSGVO nicht.

Umgang mit personenbezogenen Daten bei Führungskräften

Führungskräfte stehen an der Schnittstelle: Sie verarbeiten personenbezogene Daten ihrer Mitarbeitenden und müssen gleichzeitig die Datenschutzanforderungen kennen. Typische Fehler von Führungskräften:

• Weiterleitung von Krankmeldungen per E-Mail an den gesamten Team-Verteiler
• Einsicht in Personalakten ohne dienstliche Notwendigkeit
• Nutzung privater Kontaktdaten von Mitarbeitenden für betriebliche Zwecke
• Aufzeichnung von Personalgesprächen ohne Einwilligung

Unsere Datenschutzschulung vermittelt jeder Führungskraft praxisnahes Wissen zum datenschutzkonformen Umgang mit personenbezogenen Daten im Arbeitsverhältnis — ein wichtiger Baustein für die Compliance im Beschäftigtendatenschutz.

Nächste Schritte

Der Beschäftigtendatenschutz duldet keinen Aufschub – jeder Tag ohne klare Regelungen ist ein Tag mit vermeidbarem Risiko. Ob Sie gerade ein GPS-Tracking einführen, Ihr Bewerbermanagement digitalisieren oder Ihre Homeoffice-Regelungen auf den Prüfstand stellen möchten: Wir helfen Ihnen, den Beschäftigtendatenschutz rechtssicher und pragmatisch umzusetzen.

Buchen Sie jetzt ein kostenloses Erstgespräch – und machen Sie den Beschäftigtendatenschutz in Ihrem Unternehmen zur Stärke statt zum Risiko.