Welche Daten darf ein Arbeitgeber von Mitarbeitern nach BDSG §26 und DSGVO verarbeiten?

Nach §26 Abs. 1 BDSG darf ein Arbeitgeber personenbezogene Daten von Beschäftigten verarbeiten, soweit dies für Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Zulässige Datenverarbeitungen umfassen: Stammdaten (Name, Adresse, Geburtsdatum, Steuer-IdNr., Sozialversicherungsnummer) für Lohnabrechnung und Meldepflichten; Arbeitszeitdaten für die gesetzliche Erfassung nach ArbZG; Krankmeldungen (Fakt der Arbeitsunfähigkeit, nicht Diagnose) für Entgeltfortzahlung nach EFZG §3; Bankdaten für Gehaltszahlungen; Qualifikations- und Weiterbildungsdaten für Personalentwicklung. Unzulässig ohne Einwilligung oder gesonderte Rechtsgrundlage sind: vollständige Krankendiagnosen; Gewerkschaftsmitgliedschaft; politische oder religiöse Überzeugungen; biometrische Daten zur Identifikation (Art. 9 DSGVO — besondere Kategorien). Für diese Sonderkategorien ist nach DSGVO Art. 9 Abs. 2 lit. b und §26 Abs. 3 BDSG eine explizite Einwilligung oder ein spezieller gesetzlicher Erlaubnistatbestand erforderlich.

Muss der Arbeitgeber einen Datenschutzbeauftragten bestellen?

Die Bestellung eines betrieblichen Datenschutzbeauftragten (DSB) ist nach §38 BDSG verpflichtend für Unternehmen, die in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Diese Grenze wird in den meisten mittelständischen und großen Unternehmen regelmäßig überschritten, da moderne HR-Software, E-Mail-Systeme und Buchhaltungsprogramme allesamt als automatisierte Verarbeitung personenbezogener Daten qualifizieren. Der DSB kann intern (ein Mitarbeiter des Unternehmens) oder extern (externer Datenschutzbeauftragter, oft Rechtsanwalt oder Unternehmensberater) bestellt werden. Er muss über die erforderliche Fachkunde verfügen (§37 Abs. 5 DSGVO) und in seiner Funktion weisungsfrei sein (§38 Abs. 2 BDSG, §6 Abs. 4 DSGVO). Seine Kontaktdaten müssen intern und auf der Unternehmenswebsite veröffentlicht werden (DSGVO Art. 37 Abs. 7). Verstöße gegen die Bestellungspflicht können nach DSGVO Art. 83 Abs. 4 mit Bußgeldern bis zu 10 Millionen Euro geahndet werden.

Kann ein Arbeitgeber die Nutzung privater Smartphones am Arbeitsplatz überwachen?

Die Überwachung privater Smartphones der Mitarbeiter ist datenschutzrechtlich und arbeitsrechtlich hochsensibel. Grundsätzlich gilt: Private Endgeräte (BYOD — Bring Your Own Device) stehen nicht unter dem Direktionsrecht des Arbeitgebers (§106 GewO), soweit sie rein privat genutzt werden. Eine Überwachung privater Inhalte auf privaten Geräten ist ohne ausdrückliche Einwilligung des Mitarbeiters unzulässig und verletzt das Fernmeldegeheimnis nach Art. 10 GG sowie das Datenschutzrecht nach DSGVO Art. 5 Abs. 1 lit. f (Integrität und Vertraulichkeit). Bei der Nutzung privater Geräte für berufliche Zwecke (BYOD-Richtlinie) sind MDM-Lösungen (Mobile Device Management) rechtlich nur mit Einwilligung des Mitarbeiters und nach §87 Abs. 1 Nr. 6 BetrVG mit Betriebsratsvereinbarung zulässig. Eine klare BYOD-Richtlinie im Mitarbeiterhandbuch und in der Datenschutzvereinbarung ist unerlässlich. Das Bundesarbeitsgericht (BAG 2 AZR 549/14) hat klargestellt, dass heimliche Überwachungsmaßnahmen grundsätzlich unzulässig sind und Beweisverbote nach ZPO §286 zur Folge haben können.

Welche Rechte haben Arbeitnehmer bezüglich ihrer gespeicherten Daten?

Arbeitnehmer haben nach der DSGVO folgende Rechte gegenüber ihrem Arbeitgeber: Auskunftsrecht (DSGVO Art. 15): Recht auf vollständige Information über alle gespeicherten Daten, Verarbeitungszwecke, Empfänger, Speicherdauer, Herkunft der Daten und bestehende Garantien bei Drittlandübermittlungen. Der Arbeitgeber muss innerhalb eines Monats (DSGVO Art. 12 Abs. 3) antworten; die Antwort ist in der Regel kostenlos. Berichtigungsrecht (Art. 16): Unrichtige Daten müssen unverzüglich berichtigt werden. Löschungsrecht (Art. 17): Nach Zweckentfall oder Ablauf der Aufbewahrungsfrist müssen Daten gelöscht werden — ausgenommen, soweit gesetzliche Aufbewahrungspflichten bestehen. Einschränkungsrecht (Art. 18): Bei Bestreitung der Richtigkeit oder unlauterer Verarbeitung kann die Einschränkung der Verarbeitung verlangt werden. Datenportabilität (Art. 20): Daten, die auf Einwilligung oder Vertrag basieren, sind in maschinenlesbarem Format herauszugeben. Widerspruchsrecht (Art. 21): Bei Verarbeitungen auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f) kann Widerspruch eingelegt werden. Beschwerderecht (Art. 77): Jeder Arbeitnehmer kann sich bei der zuständigen Landesdatenschutzbehörde beschweren.

Was ist der Unterschied zwischen Auftragsverarbeitung (DSGVO Art. 28) und gemeinsamer Verantwortlichkeit (Art. 26)?

Die Unterscheidung zwischen Auftragsverarbeitung nach DSGVO Art. 28 und gemeinsamer Verantwortlichkeit nach Art. 26 ist für die Gestaltung der Datenschutzvereinbarung mit Mitarbeitern wesentlich. Auftragsverarbeitung (Art. 28 DSGVO) liegt vor, wenn ein externer Dienstleister personenbezogene Daten ausschließlich nach Weisungen des Arbeitgebers verarbeitet — z.B. eine externe Lohnbuchhaltung, die Gehaltsdaten nur auf Basis der vom Arbeitgeber vorgegebenen Regeln berechnet. In diesem Fall muss ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden; der Dienstleister handelt nicht als eigenverantwortlicher Verantwortlicher. Gemeinsame Verantwortlichkeit (Art. 26 DSGVO) liegt vor, wenn zwei oder mehr Unternehmen gemeinsam über Zwecke und Mittel der Datenverarbeitung entscheiden — z.B. Muttergesellschaft und Tochtergesellschaft, die ein gemeinsames HR-System betreiben. Dann müssen die Verantwortlichkeiten vertraglich geregelt werden. Falsch eingestufte Verarbeitungen — z.B. ein Art. 28 AVV, obwohl Art. 26 gelten müsste — verletzen DSGVO Art. 83 Abs. 4 und können Bußgelder auslösen.

Welche Bußgelder drohen bei Datenschutzverstößen im Beschäftigungskontext?

Die deutschen Landesdatenschutzbehörden (LfDI) haben in den letzten Jahren erhebliche Bußgelder gegen Arbeitgeber wegen Datenschutzverstößen im Beschäftigungskontext verhängt. Nach DSGVO Art. 83 Abs. 4 können Verstöße gegen die Grundpflichten (Art. 8, 11, 25-39, 42, 43) mit bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes geahndet werden. Nach Art. 83 Abs. 5 können schwerwiegendere Verstöße — gegen die Grundsätze des Art. 5, die Rechtsgrundlagen nach Art. 6 und 9, die Betroffenenrechte nach Art. 12-22 — mit bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes geahndet werden. Bekannte deutsche Fälle: Ein Berliner Wohnungsunternehmen wurde 2019 mit 14,5 Millionen Euro wegen unverhältnismäßig langer Speicherung von Mieterdaten belegt; H&M in Hamburg erhielt 2020 ein Bußgeld von 35,3 Millionen Euro wegen illegaler Überwachung und Dokumentation von Privatangelegenheiten der Mitarbeiter — der bislang höchste DSGVO-Bußgeldbescheid gegen ein deutsches Unternehmen im Beschäftigungskontext.

Wie lange dürfen Bewerberdaten nach einer Ablehnung gespeichert werden?

Die Speicherdauer für Bewerberdaten nach Ablehnung der Bewerbung in Deutschland ergibt sich aus der Verjährungsfrist für Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz (AGG). Nach AGG §15 Abs. 4 müssen Schadensersatz- und Entschädigungsansprüche innerhalb von zwei Monaten nach Zugang der Ablehnung geltend gemacht werden (Ausschlussfrist); die zivilrechtliche Klage muss innerhalb von drei Monaten nach Geltendmachung erhoben werden. Um sich in einem möglichen Rechtsstreit verteidigen zu können, dürfen Bewerberdaten für maximal sechs Monate nach Versendung der Ablehnung aufbewahrt werden. Nach Ablauf dieser Frist müssen die Daten gelöscht werden; eine längere Speicherung ist nach dem Grundsatz der Datensparsamkeit (DSGVO Art. 5 Abs. 1 lit. e) nicht zulässig, sofern keine besondere Rechtsgrundlage besteht (z.B. ausdrückliche Einwilligung des Bewerbers zur Aufnahme in eine Talentdatenbank). Bewerber müssen über die Speicherdauer ihrer Daten nach DSGVO Art. 13 Abs. 2 lit. a informiert werden.

Datenschutzvereinbarung Mitarbeiter Deutschland

Datenschutzvereinbarung Mitarbeiter

Datenschutzinformation

DATENSCHUTZVEREINBARUNG FÜR MITARBEITER

gemäß DSGVO Art. 13 und BDSG §26 (Beschäftigtendatenschutz)

Verantwortlicher

1. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher im Sinne der DSGVO Art. 4 Nr. 7: [Controller Name]

Betrieblicher Datenschutzbeauftragter (DSB) gemäß §38 BDSG: [Dpo Name]

Zuständige Aufsichtsbehörde (DSGVO Art. 77): [Supervisory Authority]

Betroffene Person

2. Betroffene Person

Name: [Employee Name] | Position: [Employee Position]

Beginn des Beschäftigungsverhältnisses: [Start Date]

Verarbeitungszwecke

3. Zwecke und Rechtsgrundlagen der Datenverarbeitung (DSGVO Art. 13 Abs. 1 lit. c)

Verarbeitungszwecke: [Main Processing Purposes]

Rechtsgrundlagen: §26 Abs. 1 BDSG (Beschäftigungszwecke); DSGVO Art. 6 Abs. 1 lit. b (Vertragserfüllung); Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung — EStG, SGB, ArbZG); §26 Abs. 2 BDSG (Einwilligung für freiwillige Verarbeitungen).

Empfänger personenbezogener Daten: [Third Party Recipients]

Speicherdauer

4. Speicherdauer (DSGVO Art. 13 Abs. 2 lit. a)

[Retention Periods]

Betroffenenrechte

5. Ihre Rechte als betroffene Person (DSGVO Art. 15-21, 77)

Sie haben folgende Rechte gegenüber dem Verantwortlichen: Auskunft (Art. 15 DSGVO) über alle gespeicherten Daten; Berichtigung (Art. 16) unrichtiger Daten; Löschung (Art. 17) nach Zweckentfall; Einschränkung der Verarbeitung (Art. 18); Datenportabilität (Art. 20) für Daten auf Basis von Einwilligung oder Vertrag; Widerspruch (Art. 21) gegen Verarbeitungen auf Basis berechtigter Interessen.

Zur Ausübung Ihrer Rechte wenden Sie sich an den Datenschutzbeauftragten: [Dpo Name]. Beschwerden können Sie bei der Aufsichtsbehörde einreichen: [Supervisory Authority].

Einwilligungen

6. Freiwillige Einwilligungen (§26 Abs. 2 BDSG)

Folgende Datenverarbeitungen erfolgen ausschließlich auf Basis Ihrer freiwilligen Einwilligung und können jederzeit ohne negative Konsequenzen widerrufen werden: [Voluntary Consents]

Widerruf der Einwilligung: schriftlich an den Datenschutzbeauftragten oder die Personalabteilung.

Bestätigung

7. Empfangsbestätigung und Kenntnisnahme

Ich, [Employee Name], bestätige den Empfang dieser Datenschutzinformation gemäß DSGVO Art. 13 und BDSG §26 und habe sie zur Kenntnis genommen. Die Unterschrift bestätigt die Kenntnisnahme, nicht eine gesonderte Einwilligung in die gesetzlich zulässige Datenverarbeitung nach §26 Abs. 1 BDSG.

Ort, Datum: ___________________________

Arbeitgeber / Verantwortlicher

________________

Signature

Mitarbeiter (Empfangsbestätigung)

________________

Signature

Betreut von Vladislav Sergienko, Gründer·Vorlage zuletzt geändert: 2026-06-23·Fehler melden

Was ist Datenschutzvereinbarung Mitarbeiter Deutschland?

Die Datenschutzvereinbarung für Mitarbeiter in Deutschland regelt die Verarbeitung personenbezogener Beschäftigtendaten und stützt sich auf § 26 Bundesdatenschutzgesetz (BDSG) sowie Art. 6 DSGVO. § 26 Abs. 1 BDSG bestimmt, dass die Verarbeitung personenbezogener Daten von Beschäftigten zulässig ist, wenn sie für Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Diese gesetzliche Rechtsgrundlage nach DSGVO Art. 6 Abs. 1 lit. b (Vertragserfüllung) und Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung) macht in den meisten Fällen des Beschäftigungsverhältnisses eine gesonderte Einwilligung des Arbeitnehmers entbehrlich — Gehaltsabrechnung, Sozialversicherungsmeldungen, Arbeitszeiterfassung, Krankmeldungen und ähnliche Kerndaten des Arbeitsverhältnisses bedürfen keiner Einwilligung.

Besondere Kategorien personenbezogener Daten nach DSGVO Art. 9 — insbesondere Gesundheitsdaten, genetische Daten, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, politische Meinungen und biometrische Daten zur Identifikation — dürfen nur nach §26 Abs. 3 BDSG und DSGVO Art. 9 Abs. 2 verarbeitet werden. Die Rechtsgrundlagen sind hier enger: Beschäftigte können nach §26 Abs. 2 BDSG eine freiwillige Einwilligung geben, aber die Freiwilligkeit ist im Beschäftigungskontext aufgrund des strukturellen Machtgefälles besonders sorgfältig zu prüfen. Gesundheitsdaten des Arbeitnehmers — insbesondere Diagnosen, die der Arbeitsunfähigkeitsbescheinigung zugrunde liegen — dürfen ohne ausdrückliche Einwilligung des Arbeitnehmers nicht an den Arbeitgeber weitergegeben werden.

Die Informationspflicht nach DSGVO Art. 13 verpflichtet den Arbeitgeber als Verantwortlichen (Controller), den Arbeitnehmer bei Begründung des Beschäftigungsverhältnisses über alle wesentlichen Aspekte der Datenverarbeitung zu informieren: Identität des Verantwortlichen und des Datenschutzbeauftragten; Zwecke und Rechtsgrundlagen der Verarbeitung; Empfänger der Daten; Speicherdauer; Betroffenenrechte nach DSGVO Art. 15-21 (Auskunft, Berichtigung, Löschung, Widerspruch, Datenportabilität). Diese Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung gestellt werden (DSGVO Art. 12 Abs. 1).

Der betriebliche Datenschutzbeauftragte (DSB) nach DSGVO Art. 37-39 und §38 BDSG ist bei Arbeitgebern, die in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, verpflichtend zu bestellen. Der DSB hat eine beratende und überwachende Funktion; er berät Arbeitgeber und Arbeitnehmer in Datenschutzfragen und ist erste Anlaufstelle für Betroffenenrechte. Die Landesdatenschutzbehörden (LfDI) der einzelnen Bundesländer überwachen die Einhaltung der DSGVO und des BDSG und können Bußgelder nach DSGVO Art. 83 verhängen. Die ordnungsgemäße Dokumentation des Datenschutzes im Beschäftigungsverhältnis ist nicht nur eine rechtliche Pflicht, sondern auch ein Vertrauensbeweis gegenüber den Beschäftigten.

Wann brauchen Sie Datenschutzvereinbarung Mitarbeiter Deutschland?

Eine Datenschutzvereinbarung für Mitarbeiter in Deutschland wird in mehreren konkreten Situationen benötigt, um DSGVO-Konformität herzustellen.

Einstellung neuer Mitarbeiter: Bei jeder Neueinstellung muss der Arbeitgeber nach DSGVO Art. 13 Informationen über die Datenverarbeitung bereitstellen. Die Datenschutzvereinbarung ist das geeignete Instrument, um diese Informationspflicht zu erfüllen und gleichzeitig die Einwilligung für Datenverarbeitungen zu dokumentieren, die nicht auf einer anderen Rechtsgrundlage nach DSGVO Art. 6 beruhen.

Einführung neuer IT-Systeme mit Mitarbeiterdaten: Bei der Einführung von HR-Software (SAP SuccessFactors, Workday, DATEV), Zeiterfassungssystemen, E-Mail- und Collaboration-Systemen (Microsoft 365, Google Workspace) oder Videoüberwachung müssen Arbeitnehmer nach DSGVO Art. 13 über die neue Datenverarbeitung informiert werden. Für jede neue Datenverarbeitungstätigkeit muss das Verzeichnis der Verarbeitungstätigkeiten nach DSGVO Art. 30 aktualisiert werden.

Verarbeitung besonderer Kategorien nach DSGVO Art. 9: Gesundheitsprogramme, betriebliche Altersversorgung (mit Abfrage des Gesundheitszustands), biometrische Zeiterfassung (Fingerabdruck, Gesichtserkennung) und Gewerkschaftsmitgliedschaft (für Beitragsabzug) fallen unter die besonderen Kategorien nach Art. 9 DSGVO. Hier ist eine ausdrückliche Einwilligung nach §26 Abs. 2 BDSG oder ein gesetzlicher Erlaubnistatbestand nach Art. 9 Abs. 2 erforderlich.

Homeoffice und Mobile Work: Bei der Einführung von Homeoffice entstehen neue Datenschutzrisiken: private Internetverbindungen, private Drucker, nicht gesicherte WLAN-Netzwerke. Die Datenschutzvereinbarung muss technische und organisatorische Maßnahmen (TOMs) nach DSGVO Art. 32 für die Heimarbeitsumgebung beschreiben und Mitarbeiter verpflichten, diese einzuhalten.

Video-Konferenzsysteme und Aufzeichnung: Die Aufzeichnung von Videokonferenzen ist ein hochsensibles Datenschutzthema. Nach §26 Abs. 2 BDSG ist für die Aufzeichnung und spätere Nutzung von Bild und Ton der Mitarbeiter eine ausdrückliche Einwilligung erforderlich — eine solche Einwilligung muss freiwillig sein, was im Beschäftigungskontext besondere Prüfung erfordert. Die Datenschutzvereinbarung muss klare Regelungen für erlaubte und verbotene Aufzeichnungen treffen.

Datenübermittlung an Dritte und Konzernmutter: Bei der Übermittlung von Mitarbeiterdaten an externe Dienstleister (Lohnbuchhaltung, Personalvermittler, HR-Software-Anbieter) und innerhalb von Konzernstrukturen müssen die Anforderungen der DSGVO Art. 28 (Auftragsverarbeitung) und Art. 44-46 (Drittlandtransfers) beachtet werden. Die Datenschutzvereinbarung muss die Weitergabe an Dritte transparent machen.

Was gehört in Ihr Datenschutzvereinbarung Mitarbeiter Deutschland?

Eine DSGVO-konforme Datenschutzvereinbarung für Mitarbeiter in Deutschland muss folgende Pflichtangaben und optionale Regelungen enthalten.

Identität des Verantwortlichen und DSB (DSGVO Art. 13 Abs. 1 lit. a und b): Name und Kontaktdaten des Arbeitgebers als Verantwortlicher sowie — sofern bestellt — Name und Kontaktdaten des Datenschutzbeauftragten (DSB). Der DSB nach §38 BDSG muss ab 20 regelmäßig mit automatisierter Datenverarbeitung beschäftigten Mitarbeitern bestellt werden; seine Kontaktdaten sind auch der Landesdatenschutzbehörde zu melden.

Zwecke und Rechtsgrundlagen (DSGVO Art. 13 Abs. 1 lit. c): Für jeden Verarbeitungszweck muss die Rechtsgrundlage benannt werden: §26 Abs. 1 BDSG für das Beschäftigungsverhältnis; DSGVO Art. 6 Abs. 1 lit. b für Vertragserfüllung; Art. 6 Abs. 1 lit. c für rechtliche Verpflichtungen (Lohnsteuer, Sozialversicherung); Art. 6 Abs. 1 lit. f für berechtigte Interessen (soweit zulässig). Für besondere Kategorien nach Art. 9: DSGVO Art. 9 Abs. 2 lit. b (Beschäftigungsrecht) oder §26 Abs. 2 BDSG (Einwilligung).

Empfänger der Daten (DSGVO Art. 13 Abs. 1 lit. e): Kategorien von Empfängern müssen benannt werden: Sozialversicherungsträger (Deutsche Rentenversicherung, Krankenkasse, Bundesagentur für Arbeit); Finanzbehörden (Finanzamt); externe Lohnbuchhaltung; HR-Software-Anbieter (Auftragsverarbeiter nach Art. 28 DSGVO); Konzernmutter bei Datenweitergabe innerhalb des Konzerns.

Speicherdauer (DSGVO Art. 13 Abs. 2 lit. a): Konkrete Speicherfristen müssen angegeben werden. Lohnunterlagen: zehn Jahre nach Handels- und Steuerrecht (§257 HGB, §147 AO); Bewerberdaten ohne Einstellung: maximal sechs Monate nach Absage (Verjährung AGG-Ansprüche); aktuelle Mitarbeiterdaten: Dauer des Beschäftigungsverhältnisses plus gesetzliche Aufbewahrungsfristen.

Betroffenenrechte (DSGVO Art. 13 Abs. 2 lit. b-d): Vollständige Aufzählung der Rechte: Auskunft (Art. 15); Berichtigung (Art. 16); Löschung (Art. 17); Einschränkung der Verarbeitung (Art. 18); Datenportabilität (Art. 20); Widerspruch (Art. 21); Recht auf Beschwerde bei der Landesdatenschutzbehörde (Art. 77). Beschwerdebehörde: Die zuständige LfDI richtet sich nach dem Sitz des Arbeitgebers (z.B. Bayerisches Landesamt für Datenschutzaufsicht, BayLDA; Berliner Beauftragte für Datenschutz und Informationsfreiheit).

Technische und organisatorische Maßnahmen (DSGVO Art. 32): Mitarbeiter müssen über die Sicherheitsmaßnahmen informiert werden, die der Arbeitgeber zum Schutz ihrer Daten ergriffen hat: Verschlüsselung, Zugriffskontrollen, Passwortrichtlinien, Backup-Konzepte, Löschkonzepte. Das Portal forms-legal.com stellt diese Vorlage als strukturiertes Muster zur Verfügung; für die vollständige DSGVO-Implementierung empfiehlt sich die Einbindung eines Datenschutzbeauftragten. Verwandte Dokumente: Vertraulichkeitsvereinbarung Arbeitnehmer (de-vertraulichkeitsvereinbarung-arbeitnehmer) für Geschäftsgeheimnisschutz und Mitarbeiterhandbuch (de-mitarbeiterhandbuch) für übergeordnete IT-Nutzungsrichtlinien. Ein weiteres wichtiges Element ist die Beschreibung der Rechtsgrundlage für jede einzelne Datenverarbeitungstätigkeit gemäß DSGVO Art. 6. Für die Verarbeitung besonderer Kategorien personenbezogener Daten (z.B. Gesundheitsdaten, Gewerkschaftszugehörigkeit) muss zusätzlich eine Rechtsgrundlage nach DSGVO Art. 9 i.V.m. BDSG §26 Abs. 3 vorliegen. Die Datenschutzvereinbarung sollte auch Informationen zu den Rechten der Betroffenen nach DSGVO Art. 15-22 enthalten, insbesondere das Auskunftsrecht (Art. 15), das Recht auf Berichtigung (Art. 16) und das Recht auf Löschung (Art. 17). forms-legal.com stellt DSGVO-konforme Mustervereinbarungen bereit, die sämtliche Pflichtangaben nach Art. 13 DSGVO enthalten. Zudem sollte die Vereinbarung auf das Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde hinweisen, das nach DSGVO Art. 77 jedem Beschäftigten zusteht.

So füllen Sie Ihr Datenschutzvereinbarung Mitarbeiter Deutschland aus

Das Ausfüllen der Datenschutzvereinbarung für Mitarbeiter in Deutschland erfordert Sorgfalt, da die DSGVO Art. 83 Bußgelder bis zu 20 Millionen Euro bei Verstößen vorsieht.

Erster Schritt: Verantwortlicher und DSB. Tragen Sie vollständigen Namen, Anschrift und Kontaktdaten des Arbeitgebers als Datenschutzverantwortlicher (DSGVO Art. 4 Nr. 7) ein. Falls ein betrieblicher Datenschutzbeauftragter (DSB) nach §38 BDSG bestellt wurde, tragen Sie dessen Namen, E-Mail-Adresse und Telefonnummer ein. Der DSB muss erreichbar sein; seine Kontaktdaten sind auch auf der Unternehmenswebsite nach DSGVO Art. 37 Abs. 7 zu veröffentlichen.

Zweiter Schritt: Verarbeitungszwecke auflisten. Gehen Sie die Hauptverarbeitungszwecke durch und ordnen Sie jedem eine Rechtsgrundlage nach DSGVO Art. 6 zu. Format: «Zweck: Gehaltsabrechnung — Rechtsgrundlage: §26 Abs. 1 BDSG + DSGVO Art. 6 Abs. 1 lit. c (steuerrechtliche Pflicht)». Für besondere Kategorien: DSGVO Art. 9 Abs. 2 lit. b (Beschäftigungsrecht) oder §26 Abs. 2 BDSG (Einwilligung mit gesondertem Formular).

Dritter Schritt: Empfänger und Auftragsverarbeiter benennen. Listen Sie alle Kategorien von Empfängern auf: staatliche Stellen (Finanzamt, Berufsgenossenschaft, Deutsche Rentenversicherung); externe Dienstleister (Steuerberater, Lohnbuchhaltung, HR-Software wie DATEV, SAP); Cloud-Anbieter (Microsoft, Google — prüfen Sie Standardvertragsklauseln nach DSGVO Art. 46 für Drittlandübermittlung in die USA).

Vierter Schritt: Speicherfristen aus Verzeichnis nach DSGVO Art. 30 übernehmen. Das Verzeichnis der Verarbeitungstätigkeiten (VVT) muss die Speicherfristen für alle Kategorien von Daten enthalten. Übertragen Sie diese Fristen in die Mitarbeiterinformation: «Personaldaten: Dauer des Arbeitsverhältnisses + 10 Jahre (HGB §257); Gehaltsunterlagen: 10 Jahre nach §147 AO; Bewerbungsunterlagen: 6 Monate nach Absage».

Fünfter Schritt: Betroffenenrechte und Kontaktstelle. Beschreiben Sie konkret, wie Arbeitnehmer ihre Betroffenenrechte ausüben können: «Anträge auf Auskunft, Berichtigung oder Löschung richten Sie bitte schriftlich an [email protected] oder persönlich an die Personalabteilung.» Benennen Sie die zuständige Landesdatenschutzbehörde als Beschwerdestelle mit vollständiger Adresse.

Sechster Schritt: Einwilligungen für freiwillige Verarbeitungen gesondert einholen. Für Datenverarbeitungen, die nicht auf §26 BDSG oder DSGVO Art. 6 Abs. 1 lit. b/c gestützt werden können — etwa Mitarbeiterfotos auf der Unternehmenswebsite, Nutzung privater Kontaktdaten für Newsletter, Video-Aufzeichnungen — muss eine gesonderte, freiwillige Einwilligung nach §26 Abs. 2 BDSG eingeholt werden. Diese Einwilligung muss widerrufbar sein; der Widerruf darf keine negativen Konsequenzen haben.

Siebter Schritt: Unterschrift und Ablage in Personalakte. Lassen Sie den Mitarbeiter die Datenschutzinformation unterschreiben — die Unterschrift bestätigt den Empfang und die Kenntnisnahme. Legen Sie eine Kopie in die Personalakte; speichern Sie die Information nach DSGVO Art. 5 Abs. 1 lit. e nur so lange wie erforderlich.

Rechtliche Anforderungen für Datenschutzvereinbarung Mitarbeiter Deutschland

Die rechtlichen Anforderungen an die Datenschutzvereinbarung für Mitarbeiter in Deutschland sind durch DSGVO, BDSG und die ergänzende Rechtsprechung des Europäischen Gerichtshofs (EuGH) geprägt.

DSGVO Art. 13 — Informationspflicht bei Datenerhebung: Bei jeder Ersterhebung personenbezogener Daten bei der betroffenen Person (also dem Mitarbeiter selbst) muss der Arbeitgeber die in Art. 13 Abs. 1 und 2 genannten Informationen bereitstellen: Identität des Verantwortlichen und DSB; Verarbeitungszwecke und Rechtsgrundlagen; berechtigte Interessen des Verantwortlichen (Art. 6 Abs. 1 lit. f); Empfänger; eventuelle Drittlandübermittlung; Speicherdauer; Betroffenenrechte; Widerrufsrecht bei Einwilligung; Beschwerderecht.

BDSG §26 — Beschäftigtendatenschutz: Spezialregelung für das Arbeitsverhältnis. §26 Abs. 1 Satz 1 erlaubt Verarbeitung für Beschäftigungszwecke ohne Einwilligung; §26 Abs. 2 regelt Einwilligungen im Beschäftigungskontext (schriftlich, freiwillig, dokumentiert); §26 Abs. 3 regelt besondere Kategorien im Beschäftigungskontext.

DSGVO Art. 28 — Auftragsverarbeitungsvertrag: Für jeden externen Dienstleister, der Mitarbeiterdaten verarbeitet (Lohnbuchhaltungsbüro, HR-Software-Anbieter, Cloud-Dienste), muss ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO abgeschlossen werden. Ohne AVV ist die Weitergabe unzulässig und kann Bußgelder nach Art. 83 Abs. 4 DSGVO (bis 10 Millionen Euro) auslösen.

DSGVO Art. 83 — Bußgelder: Schwerwiegende Verstöße gegen die Grundsätze der Verarbeitung (Art. 5), gegen die Rechtsgrundlagen (Art. 6, 9), gegen die Informationspflichten (Art. 13, 14) und gegen die Betroffenenrechte (Art. 15-21) können mit Bußgeldern bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes geahndet werden. Die deutschen Landesdatenschutzbehörden (LfDI) haben in den letzten Jahren erhebliche Bußgelder gegen Arbeitgeber verhängt.

BetrVG §87 Abs. 1 Nr. 6: Der Betriebsrat hat Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmer bestimmt sind. Viele IT-Systeme, die im Rahmen des Beschäftigungsverhältnisses Mitarbeiterdaten verarbeiten, unterliegen dieser Mitbestimmung. Bei der Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/des EWR müssen die Voraussetzungen von DSGVO Kapitel V (Art. 44-49) erfüllt sein; dies ist bei der Nutzung globaler HR-Software oder Cloud-Dienste häufig relevant und sollte in der Datenschutzvereinbarung adressiert werden.

Häufige Fehler bei Ihrem Datenschutzvereinbarung Mitarbeiter Deutschland

Häufige Fehler bei der Gestaltung der Datenschutzvereinbarung für Mitarbeiter in Deutschland führen zu DSGVO-Verstößen und Bußgeldrisiken.

Fehlende oder unvollständige DSGVO Art. 13 Informationen: Der häufigste Fehler ist eine Datenschutzerklärung, die nicht alle Pflichtangaben nach DSGVO Art. 13 Abs. 1 und 2 enthält. Besonders häufig fehlend: die Speicherdauer oder Kriterien für die Speicherdauer; das Recht auf Beschwerde bei der Landesdatenschutzbehörde; das Recht auf Datenportabilität nach Art. 20; und die Angabe, ob die Bereitstellung der Daten einer gesetzlichen oder vertraglichen Verpflichtung entspricht.

Unzulässige Einwilligungen im Arbeitsverhältnis: Viele Arbeitgeber holen Einwilligungen für Datenverarbeitungen ein, die bereits auf §26 Abs. 1 BDSG gestützt werden können — dadurch entsteht formal eine Einwilligungslage, die aber problematisch ist: Der Arbeitnehmer kann die Einwilligung jederzeit widerrrufen, was die Datenverarbeitung stoppen würde, obwohl sie ohnehin zulässig wäre. Besser: Für Pflichtdaten §26 BDSG als Rechtsgrundlage nutzen, Einwilligung nur für echte freiwillige Verarbeitungen einholen.

Kein Auftragsverarbeitungsvertrag (AVV) mit externen Dienstleistern: Arbeitgeber, die die Lohnbuchhaltung an externe Steuerberater auslagern oder HR-Software in der Cloud nutzen, verarbeiten Mitarbeiterdaten im Auftrag. Ohne AVV nach DSGVO Art. 28 ist die Weitergabe datenschutzwidrig. Die Landesdatenschutzbehörden haben hierfür bereits Bußgelder verhängt.

Keine Regelung für Drittlandübermittlungen: US-amerikanische Cloud-Dienste (Microsoft 365, Google Workspace, Slack) übermitteln Daten in die USA. Nach dem Schrems-II-Urteil des EuGH (C-311/18) und dem neuen EU-US Data Privacy Framework vom Juli 2023 müssen Arbeitgeber die Rechtmäßigkeit dieser Übermittlungen prüfen und in der Datenschutzinformation angeben. Fehlende Angaben zur Drittlandübermittlung sind ein häufiger Bußgeldgrund.

Veraltete Datenschutzinformationen: Viele Unternehmen haben ihre Datenschutzerklärungen seit 2018 nicht aktualisiert. Neue Gesetze (HinSchG 2023, TTDSG), neue Systeme und neue Rechtsprechung (z.B. zur Cookie-Einwilligung) müssen laufend in die Datenschutzinformation eingearbeitet werden. Eine jährliche Überprüfung durch den Datenschutzbeauftragten ist Mindeststandard.

Einwilligung für besondere Kategorien ohne Freiwilligkeitsnachweis: §26 Abs. 2 BDSG verlangt, dass Einwilligungen im Beschäftigungskontext freiwillig sind. Bei besonderer Machtstellung des Arbeitgebers ist Freiwilligkeit schwer nachzuweisen. Die Landesdatenschutzbehörden prüfen, ob dem Arbeitnehmer bei Verweigerung der Einwilligung Nachteile entstehen — wenn ja, ist die Einwilligung unwirksam.

Diese Seite zitieren

Verweisen Sie auf diese kostenlose Vorlage in einem Artikel, Lehrplan oder Forschungsbericht:

APA

Forms Legal. (2026). Datenschutzvereinbarung Mitarbeiter Deutschland (Deutschland) [Legal document template]. Forms Legal. https://forms-legal.com/de/deutschland/employment/contracts/datenschutzvereinbarung-mitarbeiter-deutschland

MLA

"Datenschutzvereinbarung Mitarbeiter Deutschland (Deutschland)." Forms Legal, 2026, https://forms-legal.com/de/deutschland/employment/contracts/datenschutzvereinbarung-mitarbeiter-deutschland.

BibTeX

@misc{formslegal-datenschutzvereinbarung-mitarbeiter-deutschland,
  author       = {{Forms Legal}},
  title        = {Datenschutzvereinbarung Mitarbeiter Deutschland (Deutschland)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/de/deutschland/employment/contracts/datenschutzvereinbarung-mitarbeiter-deutschland}},
  note         = {Free legal document template}
}

Häufig gestellte Fragen

Gesetzesreferenzierte Vorlage — Vorlage zuletzt geändert Juni 2026

Diese Vorlage dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Gesetze sind je nach Rechtsordnung unterschiedlich und ändern sich im Laufe der Zeit. Konsultieren Sie für Ihren konkreten Fall einen qualifizierten Rechtsanwalt.Vollständiger Haftungsausschluss

Fehler gefunden? Sagen Sie uns Bescheid