Welche Datenschutzhinweise müssen Arbeitgeber ihren Mitarbeitern geben und wie sieht ein Muster aus? Kurzantwort: Nach Art. 13 DSGVO muss jeder Arbeitgeber die Beschäftigten spätestens bei Beginn der Datenverarbeitung — also mit dem Arbeitsvertrag — transparent darüber informieren, welche personenbezogenen Daten er zu welchem Zweck, auf welcher Rechtsgrundlage und wie lange verarbeitet. Die zentrale Rechtsgrundlage im Beschäftigungskontext ist § 26 BDSG (Verarbeitung für Zwecke des Beschäftigungsverhältnisses). Dieser Beitrag liefert ein vollständiges, kopierbares Muster und erklärt die Besonderheiten von Betriebsrat, Videoüberwachung und Aufbewahrungsfristen.
Die Informationspflicht ist eine Bringschuld: Der Arbeitgeber muss aktiv informieren, nicht auf Nachfrage warten.
Wichtige Punkte
- Art. 13 DSGVO verlangt die Information spätestens zu Beginn der Verarbeitung — beim Arbeitsvertrag.
- Rechtsgrundlage ist § 26 BDSG für die Durchführung des Beschäftigungsverhältnisses (Art. 88 DSGVO Öffnungsklausel).
- Pflichtangaben: Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer, Betroffenenrechte.
- Videoüberwachung und IT-Monitoring brauchen gesonderte, konkrete Hinweise.
- Bei mitbestimmungspflichtigen Themen ist der Betriebsrat einzubeziehen (§ 87 BetrVG).
Art. 13 DSGVO im Beschäftigungskontext
Art. 13 DSGVO gilt, wenn Daten bei der betroffenen Person selbst erhoben werden — im Arbeitsverhältnis der Regelfall. Der Arbeitgeber muss die Beschäftigten proaktiv und in verständlicher Form informieren. Anders als bei einer Einwilligung ist keine Zustimmung erforderlich; die Information ist eine reine Transparenzpflicht.
Die Rechtsgrundlage der Beschäftigtendatenverarbeitung ist meist nicht die Einwilligung — im Über-/Unterordnungsverhältnis ist deren Freiwilligkeit fraglich. Stattdessen greift § 26 Abs. 1 BDSG: Verarbeitung, soweit sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. § 26 BDSG beruht auf der Öffnungsklausel des Art. 88 DSGVO und ist die deutsche Spezialnorm für den Beschäftigtendatenschutz.
Pflichtangaben nach Art. 13 DSGVO
| Pflichtangabe | Inhalt im Beschäftigungskontext |
|---|---|
| Verantwortlicher | Arbeitgeber mit Kontaktdaten |
| Datenschutzbeauftragter | Kontaktdaten, falls bestellt |
| Zwecke | Personalverwaltung, Lohn, Zeiterfassung, IT |
| Rechtsgrundlagen | § 26 BDSG, Art. 6 Abs. 1 lit. b/c DSGVO |
| Empfänger | Sozialversicherung, Finanzamt, Dienstleister |
| Drittlandübermittlung | z. B. HR-Cloud in Drittland |
| Speicherdauer | nach Aufbewahrungsfristen |
| Betroffenenrechte | Auskunft, Berichtigung, Löschung, Beschwerde |
Das Muster für Datenschutzhinweise an Mitarbeiter
DATENSCHUTZHINWEISE FÜR BESCHÄFTIGTE
gemäß Art. 13 DSGVO
1. Verantwortlicher
[Firma, Anschrift, gesetzlicher Vertreter, Kontakt]
Datenschutzbeauftragter: [Name/Kontakt, falls bestellt]
2. Zwecke und Rechtsgrundlagen der Verarbeitung
Wir verarbeiten Ihre personenbezogenen Daten für:
- Begründung, Durchführung und Beendigung des
Arbeitsverhältnisses (§ 26 Abs. 1 BDSG)
- Erfüllung gesetzlicher Pflichten, z. B. Steuer- und
Sozialversicherungsrecht (Art. 6 Abs. 1 lit. c DSGVO)
- Wahrung berechtigter Interessen, z. B. IT-Sicherheit
(Art. 6 Abs. 1 lit. f DSGVO)
3. Kategorien verarbeiteter Daten
Stammdaten, Vertragsdaten, Abrechnungsdaten, Zeiterfassung,
ggf. Gesundheitsdaten (Krankmeldungen, Art. 9 Abs. 2 lit. b),
IT-Nutzungsdaten.
4. Empfänger der Daten
Finanzamt, Sozialversicherungsträger, Berufsgenossenschaft,
Lohnabrechnungsdienstleister (Auftragsverarbeiter), Bank.
5. Übermittlung in Drittländer
[Falls einschlägig: HR-System mit Serverstandort außerhalb der
EU, Rechtsgrundlage Standardvertragsklauseln.]
6. Speicherdauer
Wir speichern Ihre Daten für die Dauer des Arbeitsverhältnisses
und darüber hinaus nach Maßgabe gesetzlicher
Aufbewahrungsfristen [Verweis auf Fristentabelle].
7. Ihre Rechte
Sie haben das Recht auf Auskunft (Art. 15), Berichtigung
(Art. 16), Löschung (Art. 17), Einschränkung (Art. 18),
Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) sowie
das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77).
8. Videoüberwachung / IT-Monitoring
[Falls einschlägig: konkrete Angabe zu Zweck, Umfang,
Speicherdauer und Rechtsgrundlage der Überwachung.]
9. Pflicht zur Bereitstellung
Für den Abschluss und die Durchführung des Arbeitsvertrags sind
bestimmte Daten erforderlich; ohne sie kann das Arbeits-
verhältnis nicht durchgeführt werden.
Stand: [Datum]
Besonderheiten: Betriebsrat, Videoüberwachung, Fristen
Betriebsrat. Bei der Einführung technischer Einrichtungen, die zur Überwachung von Verhalten oder Leistung geeignet sind — Zeiterfassung, Videoüberwachung, Monitoring-Software —, hat der Betriebsrat ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Die Datenschutzhinweise sollten auf eine bestehende Betriebsvereinbarung verweisen, die häufig die konkrete Rechtsgrundlage präzisiert. Binden Sie den Betriebsrat früh ein — nicht erst, wenn die Hinweise verteilt werden.
Videoüberwachung und IT-Monitoring dürfen nicht in einem pauschalen Satz abgehandelt werden. Beide sind eingriffsintensiv und brauchen konkrete Angaben zu Zweck, überwachtem Bereich, Speicherdauer und Rechtsgrundlage. Verdeckte Überwachung ist nur unter engen Voraussetzungen zulässig; die Hinweise müssen die offene Überwachung transparent machen. Die Details gehören auch in die IT-Nutzungsrichtlinie und, bei Heimarbeit, in die Home-Office-Regelung.
Aufbewahrungsfristen. Personalunterlagen unterliegen unterschiedlichen Fristen — steuerrelevante Lohnunterlagen sechs Jahre, andere Unterlagen bis zu zehn Jahre, Bewerberdaten dagegen nur sechs Monate. Die Hinweise sollten auf die jeweilige Frist verweisen; die konkreten Werte stehen in unserer Aufbewahrungsfristen-Tabelle.
Die Datenschutzhinweise sind Teil eines stimmigen HR-Datenschutzkonzepts. Sie greifen ineinander mit dem Datenschutz in der Personalabteilung und — bei ausdrücklich freiwilligen Verarbeitungen wie einem Mitarbeiterfoto auf der Website — mit einer gesonderten Einwilligung nach Muster. Für Beschäftigte im Home-Office kommen zusätzliche Hinweise zu Zugriffssicherung und privater Gerätenutzung hinzu, die in der Home-Office-Regelung verankert sein sollten.
Besondere Kategorien: Gesundheitsdaten im Arbeitsverhältnis
Ein sensibler Punkt sind Gesundheitsdaten — Krankmeldungen, Wiedereingliederung, Schwerbehinderung. Sie sind besondere Kategorien nach Art. 9 DSGVO und dürfen nur unter engen Voraussetzungen verarbeitet werden. Im Arbeitsverhältnis greift § 26 Abs. 3 BDSG in Verbindung mit Art. 9 Abs. 2 lit. b DSGVO: Die Verarbeitung ist zulässig, soweit sie zur Ausübung von Rechten oder zur Erfüllung von Pflichten aus dem Arbeitsrecht, dem Sozialrecht oder dem Recht der sozialen Sicherheit erforderlich ist — etwa die Entgeltfortzahlung im Krankheitsfall.
Die Datenschutzhinweise sollten diese Kategorie ausdrücklich benennen, aber nicht überfrachten: Der Arbeitgeber verarbeitet Gesundheitsdaten nur im gesetzlich erforderlichen Umfang, nicht das ärztliche Diagnosedetail. Eine Arbeitsunfähigkeitsbescheinigung belegt die Dauer, nicht die Diagnose. Wer in den Hinweisen suggeriert, umfassende Gesundheitsdaten zu verarbeiten, weckt Erwartungen, die er weder erfüllen darf noch erfüllen sollte. Präzision schützt hier vor eigenen Fehlern.
Aktualisierungspflicht bei neuen Verarbeitungen
Datenschutzhinweise sind kein Einmaldokument. Führt der Arbeitgeber ein neues System ein — eine HR-Cloud, ein Zeiterfassungstool, eine Monitoring-Software —, ändern sich Zwecke, Empfänger oder Speicherorte, und die Hinweise sind zu aktualisieren und erneut auszuhändigen. Das gilt besonders bei Übermittlungen in Drittländer, die eine neue Cloud-Lösung mit sich bringen kann. Ein Verweis auf die jeweils aktuelle Fassung im Intranet, kombiniert mit einer aktiven Information bei wesentlichen Änderungen, hält die Transparenzpflicht dauerhaft erfüllt.
FAQ
Brauche ich eine Einwilligung der Mitarbeiter für die Datenverarbeitung?
In der Regel nicht. Die Verarbeitung für das Beschäftigungsverhältnis stützt sich auf § 26 BDSG, nicht auf eine Einwilligung — deren Freiwilligkeit ist im Abhängigkeitsverhältnis zweifelhaft. Eine Einwilligung ist nur für Verarbeitungen sinnvoll, die über das Erforderliche hinausgehen und echt freiwillig sind, etwa ein Foto im Intranet. Für alles Übrige informieren Sie nach Art. 13, ohne Zustimmung einzuholen.
Wann müssen die Datenschutzhinweise übergeben werden?
Spätestens zu Beginn der Datenverarbeitung, praktisch also mit dem Arbeitsvertrag oder beim Onboarding. Bei bereits bestehenden Arbeitsverhältnissen, für die noch keine Hinweise erteilt wurden, ist die Information unverzüglich nachzuholen. Ändern sich Zwecke oder Umfang wesentlich, sind die Hinweise zu aktualisieren.
Muss der Betriebsrat einbezogen werden?
Bei mitbestimmungspflichtigen Themen ja. Die Einführung technischer Überwachungseinrichtungen — Zeiterfassung, Video, Monitoring — unterliegt der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Häufig regelt eine Betriebsvereinbarung die Details und dient zugleich als präzisierende Rechtsgrundlage, auf die die Datenschutzhinweise verweisen.
Reicht ein Verweis auf die allgemeine Datenschutzerklärung?
Nein. Die Beschäftigtenverarbeitung unterscheidet sich in Zwecken, Rechtsgrundlagen und Empfängern deutlich von der Verarbeitung von Website-Besuchern oder Kunden. Beschäftigte brauchen eigene, auf das Arbeitsverhältnis zugeschnittene Hinweise — insbesondere zu § 26 BDSG, Überwachung und Aufbewahrungsfristen.
Fazit
Datenschutzhinweise für Mitarbeiter sind die arbeitsrechtliche Ausprägung der Art.-13-Transparenzpflicht: aktiv zu erteilen, gestützt auf § 26 BDSG, konkret bei Überwachung und verzahnt mit Betriebsrat und Aufbewahrungsfristen. Nutzen Sie das Muster als Grundlage, ergänzen Sie Ihre spezifischen Verarbeitungen und binden Sie den Betriebsrat früh ein. Den Gesetzestext des Art. 13 finden Sie bei EUR-Lex, § 26 BDSG im BDSG.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial