Datenschutz am Arbeitsplatz

Sie haben Fragen zu Ihrem Fall und suchen anwaltliche Unterstützung?

Kontaktieren Sie uns und schildern Sie Ihren Fall. Sie erhalten eine kostenlose Einschätzung unserer Anwälte.

Datenschutz am Arbeitsplatz im Arbeitsrecht

Herausgeber: DR. THORN Rechtsanwälte PartGmbB | Autor: Dr. Michael Thorn, Rechtsanwalt | Zuletzt aktualisiert: Februar 2026

Der Datenschutz am Arbeitsplatz bestimmt, in welchem Umfang ein Arbeitgeber personenbezogene Daten seiner Beschäftigten erheben, verarbeiten und nutzen darf. Die zentralen Rechtsgrundlagen sind die Datenschutz-Grundverordnung (DSGVO) und § 26 des Bundesdatenschutzgesetzes (BDSG), der speziell die Datenverarbeitung im Beschäftigungskontext regelt. Arbeitnehmer haben weitreichende Rechte auf Auskunft, Berichtigung und Löschung ihrer Daten. Verstöße gegen datenschutzrechtliche Vorgaben können für Arbeitgeber erhebliche Konsequenzen haben – von Bußgeldern bis zu Schadensersatzansprüchen der Betroffenen.

In der arbeitsrechtlichen Praxis berührt der Datenschutz nahezu alle Phasen des Arbeitsverhältnisses: von der Bewerbung über die Personalaktenführung und die Überwachung am Arbeitsplatz bis hin zum Arbeitszeugnis nach Beendigung. Die Abgrenzung zwischen zulässiger Datenverarbeitung und unzulässigem Eingriff in die Persönlichkeitsrechte der Beschäftigten ist dabei eine der häufigsten Streitfragen.

Dieser Artikel richtet sich an Arbeitnehmer, die wissen möchten, welche Daten ihr Arbeitgeber über sie erheben darf und welche Rechte ihnen zustehen, sowie an Arbeitgeber und Personalverantwortliche, die datenschutzkonform handeln wollen.

Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle Rechtsberatung. Die Darstellung erhebt keinen Anspruch auf Vollständigkeit. Für eine Einschätzung Ihres konkreten Falls wenden Sie sich bitte an einen Fachanwalt für Arbeitsrecht.

Das Wichtigste in Kürze

Die Verarbeitung von Beschäftigtendaten ist nur zulässig, wenn sie für die Durchführung des Arbeitsverhältnisses erforderlich ist (§ 26 BDSG) oder eine andere Rechtsgrundlage nach Art. 6 DSGVO vorliegt.
Arbeitnehmer haben Auskunfts-, Berichtigungs-, Löschungs- und Widerspruchsrechte nach der DSGVO.
Die Einwilligung des Arbeitnehmers als Rechtsgrundlage ist wegen des Machtgefälles im Arbeitsverhältnis nur eingeschränkt wirksam.
Verstöße können Bußgelder von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes sowie Schadensersatzansprüche nach sich ziehen.
Der Betriebsrat hat bei der Einführung technischer Überwachungseinrichtungen ein Mitbestimmungsrecht.

Rechtsgrundlagen des Beschäftigtendatenschutzes

DSGVO und BDSG im Zusammenspiel

Die DSGVO gilt als unmittelbar anwendbares EU-Recht und enthält die allgemeinen Grundsätze der Datenverarbeitung: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Vertraulichkeit. Artikel 88 DSGVO ermächtigt die Mitgliedstaaten, spezifischere Vorschriften für den Beschäftigtenbereich zu erlassen. Deutschland hat hiervon mit § 26 BDSG Gebrauch gemacht.

Nach § 26 Abs. 1 BDSG dürfen personenbezogene Daten von Beschäftigten verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Der Erforderlichkeitsgrundsatz verlangt eine Abwägung zwischen den berechtigten Interessen des Arbeitgebers und dem Persönlichkeitsrecht des Beschäftigten.

Allgemeines Persönlichkeitsrecht

Neben dem geschriebenen Datenschutzrecht schützt das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG die Beschäftigten vor unverhältnismäßigen Eingriffen. Das Bundesarbeitsgericht (BAG) prüft in ständiger Rechtsprechung die Verhältnismäßigkeit von Kontrollmaßnahmen anhand einer umfassenden Interessenabwägung.

Zulässige Datenverarbeitung

Bewerbungsverfahren

Im Bewerbungsverfahren darf der Arbeitgeber nur Daten erheben, die für die Beurteilung der Eignung erforderlich sind: Qualifikation, Berufserfahrung, Zeugnisse. Fragen nach Schwangerschaft, Gewerkschaftszugehörigkeit, Religionszugehörigkeit oder Schwerbehinderung sind grundsätzlich unzulässig – mit eng begrenzten Ausnahmen.

Nach Ablehnung eines Bewerbers sind dessen Daten innerhalb von sechs Monaten zu löschen, sofern keine Einwilligung zur weiteren Speicherung vorliegt.

Personalakte und laufendes Arbeitsverhältnis

Die Personalakte enthält alle Unterlagen, die mit dem Arbeitsverhältnis in Zusammenhang stehen: Arbeitsvertrag, Gehaltsabrechnungen, Abmahnungen, Beurteilungen, Krankmeldungen. Der Arbeitnehmer hat ein Einsichtsrecht in seine Personalakte (§ 83 BetrVG). Der Zugang zur Personalakte muss auf die Personen beschränkt sein, die diesen für die Aufgabenerfüllung benötigen.

Gesundheitsdaten

Gesundheitsdaten sind nach Art. 9 DSGVO besonders schutzbedürftig. Bei einer Krankmeldung darf der Arbeitgeber die Dauer der Arbeitsunfähigkeit erfahren, nicht jedoch die Diagnose. Auch im Rahmen eines betrieblichen Eingliederungsmanagements (BEM) dürfen Gesundheitsdaten nur mit ausdrücklicher Einwilligung des Beschäftigten und streng zweckgebunden verarbeitet werden.

Überwachung und Kontrolle

Grundsätze der Verhältnismäßigkeit

Jede Kontrollmaßnahme muss geeignet, erforderlich und angemessen sein. Eine dauerhafte und anlasslose Überwachung am Arbeitsplatz ist grundsätzlich unverhältnismäßig. Verdeckte Überwachungsmaßnahmen sind nur bei konkretem Verdacht einer Straftat oder schweren Pflichtverletzung zulässig, wenn mildere Mittel ausgeschöpft sind.

E-Mail und Internetnutzung

Ist die private Nutzung von E-Mail und Internet am Arbeitsplatz erlaubt, unterliegt die Kontrolle engen Grenzen. Der Arbeitgeber darf den Inhalt privater E-Mails grundsätzlich nicht lesen. Ist die private Nutzung untersagt, kann der Arbeitgeber dienstliche E-Mails im erforderlichen Umfang kontrollieren – etwa bei konkretem Verdacht auf Pflichtverletzungen. Eine klare Regelung im Arbeitsvertrag oder in einer Betriebsvereinbarung schafft Rechtssicherheit.

Videoüberwachung und GPS

Videoüberwachung in öffentlich zugänglichen Räumen richtet sich nach § 4 BDSG. Am Arbeitsplatz gelten die strengen Maßstäbe des Beschäftigtendatenschutzes: Pausenräume, Umkleideräume und sanitäre Einrichtungen dürfen niemals überwacht werden. GPS-Ortung von Dienstfahrzeugen ist nur während der Arbeitszeit und nur bei dienstlicher Erforderlichkeit zulässig. In Betrieben mit Betriebsrat besteht ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG.

Rechte der Beschäftigten

Auskunftsrecht nach Art. 15 DSGVO

Jeder Beschäftigte hat das Recht, vom Arbeitgeber Auskunft darüber zu verlangen, ob und welche personenbezogenen Daten über ihn verarbeitet werden. Der Arbeitgeber muss innerhalb eines Monats eine vollständige Kopie der verarbeiteten Daten zur Verfügung stellen. Das BAG hat den Umfang des Auskunftsanspruchs in mehreren Entscheidungen präzisiert und betont, dass dieser auch E-Mails und interne Vermerke umfassen kann.

Berichtigung, Löschung und Widerspruch

Arbeitnehmer können unrichtige Daten berichtigen lassen (Art. 16 DSGVO) und die Löschung von Daten verlangen, wenn der Zweck der Verarbeitung entfallen ist (Art. 17 DSGVO). Nach einer unrechtmäßig erteilten Abmahnung kann der Beschäftigte deren Entfernung aus der Personalakte fordern – sowohl auf arbeitsrechtlicher als auch auf datenschutzrechtlicher Grundlage.

Einwilligung im Arbeitsverhältnis

Die Einwilligung des Beschäftigten als Rechtsgrundlage für die Datenverarbeitung ist im Arbeitsverhältnis problematisch. Wegen des strukturellen Ungleichgewichts zwischen Arbeitgeber und Arbeitnehmer bestehen erhebliche Zweifel an der Freiwilligkeit einer Einwilligung (§ 26 Abs. 2 BDSG).

Nach der DSGVO muss eine Einwilligung frei, informiert und jederzeit widerrufbar sein. In der Praxis sollten sich Arbeitgeber daher nach Möglichkeit auf andere Rechtsgrundlagen stützen.

Betriebsvereinbarung als Rechtsgrundlage

Eine Betriebsvereinbarung kann nach Art. 88 Abs. 1 DSGVO als eigenständige Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten dienen. Sie muss allerdings angemessene und besondere Maßnahmen zur Wahrung der Interessen der Betroffenen vorsehen. In der Praxis ist die Betriebsvereinbarung das wichtigste Instrument, um datenschutzrechtliche Fragen im Betrieb einvernehmlich zu regeln.

Folgen von Datenschutzverstößen

Verstöße gegen die DSGVO können von den Datenschutzaufsichtsbehörden mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden (Art. 83 DSGVO).

Daneben haben betroffene Beschäftigte nach Art. 82 DSGVO Anspruch auf Schadensersatz – einschließlich immateriellen Schadensersatzes.

Arbeitsgericht und Datenschutzaufsichtsbehörde sind parallel zuständig. Im arbeitsgerichtlichen Verfahren können datenschutzrechtswidrig erlangte Beweismittel einem Verwertungsverbot unterliegen.

Praxishinweis

Für Arbeitnehmer: Nutzen Sie Ihr Auskunftsrecht nach Art. 15 DSGVO, wenn Sie wissen möchten, welche Daten Ihr Arbeitgeber über Sie gespeichert hat. Bei rechtswidrigen Überwachungsmaßnahmen oder Datenschutzverstößen können Sie sich an die zuständige Datenschutzaufsichtsbehörde wenden oder rechtlich gegen den Arbeitgeber vorgehen.

Für Arbeitgeber: Erstellen Sie ein Verarbeitungsverzeichnis für alle Beschäftigtendaten. Regeln Sie die private Nutzung von E-Mail und Internet klar im Arbeitsvertrag oder einer Betriebsvereinbarung. Holen Sie vor der Einführung von Überwachungsmaßnahmen die Zustimmung des Betriebsrats ein und prüfen Sie die Verhältnismäßigkeit jeder Maßnahme.

FAQ – Datenschutz am Arbeitsplatz

Darf der Arbeitgeber meine E-Mails lesen?

Das hängt davon ab, ob die private Nutzung erlaubt oder verboten ist. Ist die private Nutzung gestattet, darf der Arbeitgeber den Inhalt privater E-Mails grundsätzlich nicht lesen. Bei ausschließlich dienstlicher Nutzung kann eine Kontrolle im erforderlichen Umfang zulässig sein – insbesondere bei konkretem Verdacht auf Pflichtverletzungen. Eine klare Regelung im Arbeitsvertrag oder einer Betriebsvereinbarung schafft Rechtssicherheit.

Welche Daten darf der Arbeitgeber über mich speichern?

Der Arbeitgeber darf nur personenbezogene Daten verarbeiten, die für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sind. Dazu gehören Stammdaten, Vertragsdaten, Gehaltsabrechnungen und dienstliche Beurteilungen. Gesundheitsdaten unterliegen besonderem Schutz – die Diagnose bei einer Krankmeldung darf der Arbeitgeber nicht erfahren.

Kann ich Auskunft über meine gespeicherten Daten verlangen?

Ja. Nach Art. 15 DSGVO haben Sie das Recht, vom Arbeitgeber eine vollständige Auskunft über alle über Sie gespeicherten personenbezogenen Daten zu verlangen. Der Arbeitgeber muss innerhalb eines Monats antworten und Ihnen eine Kopie der Daten zur Verfügung stellen. Dieses Recht besteht auch nach Beendigung des Arbeitsverhältnisses.

Was kann ich tun, wenn mein Arbeitgeber gegen den Datenschutz verstößt?

Sie können sich an die zuständige Datenschutzaufsichtsbehörde wenden, die den Vorfall untersuchen und Bußgelder verhängen kann. Darüber hinaus können Sie vor dem Arbeitsgericht Unterlassung und Schadensersatz geltend machen – einschließlich immateriellen Schadensersatzes nach Art. 82 DSGVO. Bei rechtswidrig erlangten Beweismitteln kann zudem ein Verwertungsverbot im Prozess bestehen.

Hat der Betriebsrat ein Mitspracherecht beim Datenschutz?

Ja. Der Betriebsrat hat ein Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung der Beschäftigten geeignet sind (§ 87 Abs. 1 Nr. 6 BetrVG). In der Praxis regeln Betriebsvereinbarungen häufig den Einsatz von IT-Systemen, Videoüberwachung und Zeiterfassung.