§ 26 BDSG: Beschäftigtendatenschutz richtig umsetzen und Audit-fest dokumentieren
§ 26 BDSG regelt den Beschäftigtendatenschutz im Arbeitsverhältnis. Wir erklären die zulässigen Zwecke, die Einwilligungsanforderungen, die Grenzen bei Straftatenaufklärung und wie Sie die Umsetzung im CIVAC-Workspace Audit-fest dokumentieren.
§ 26 BDSG regelt seit Geltung des neuen BDSG vom 25. Mai 2018 die Datenverarbeitung im Beschäftigungskontext und konkretisiert die Öffnungsklausel aus Art. 88 DSGVO für das deutsche Arbeitsrecht. Die Norm gilt für alle Phasen des Beschäftigungsverhältnisses: Anbahnung, Durchführung, Beendigung und Nachvertrag. Wer als Verantwortlicher Beschäftigtendaten ohne ausreichende Rechtsgrundlage verarbeitet, riskiert Bußgelder bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes nach Art. 83 Abs. 5 DSGVO sowie Schadensersatzansprüche nach Art. 82 DSGVO. Hinzu kommen Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG, die bei jeder neuen Verarbeitung greifen, sobald technische Überwachungseinrichtungen im Spiel sind. Frist läuft ab Kenntnis.
Dieser Beitrag erklärt die Struktur des § 26 BDSG, die typischen Anwendungsfälle in der Praxis, die Grenzen bei der Aufklärung von Straftaten nach § 26 Abs. 1 Satz 2 BDSG sowie die Anforderungen an eine wirksame Einwilligung nach § 26 Abs. 2 BDSG. Sie erfahren, wie die Pflichten im CIVAC-Workspace abgebildet werden, welche Vorlagen für Bewerbermanagement, Mitarbeiterüberwachung und Beendigung verfügbar sind und wie die Berichtslinie zwischen externem Datenschutzbeauftragten und Betriebsrat funktioniert. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit EU-Datenresidenz. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen.
Auf einen Blick
- § 26 BDSG erlaubt die Verarbeitung von Beschäftigtendaten zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses, jedoch nur im erforderlichen Umfang.
- Die Aufklärung von Straftaten erfordert tatsächliche Anhaltspunkte, eine Verhältnismäßigkeitsprüfung und eine vollständige Dokumentation des Verdachtsmoments.
- Eine Einwilligung im Beschäftigungskontext ist nur unter strengen Voraussetzungen wirksam, schriftlich oder elektronisch und mit Widerrufsrecht.
Struktur des § 26 BDSG: Was die Norm regelt und was nicht
§ 26 BDSG gliedert sich in acht Absätze. Absatz 1 enthält die zentrale Erlaubnis: Beschäftigtendaten dürfen verarbeitet werden, soweit dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, für dessen Durchführung oder Beendigung erforderlich ist. Satz 2 ergänzt die Verarbeitung zur Aufdeckung von Straftaten unter engen Voraussetzungen. Absatz 2 regelt die Einwilligung im Beschäftigungskontext, insbesondere die Frage der Freiwilligkeit. Absatz 3 betrifft die Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO. Absatz 4 enthält die Öffnung für Kollektivvereinbarungen, insbesondere Betriebsvereinbarungen nach § 77 BetrVG. Die Absätze 5 bis 8 regeln Verfahrensfragen, etwa die Pflicht zur Information und die Bestimmung des Begriffs Beschäftigter.
Die Norm verdrängt nicht die DSGVO, sondern konkretisiert sie für den deutschen Beschäftigungskontext. Wer § 26 BDSG anwendet, muss zugleich die Grundsätze nach Art. 5 DSGVO einhalten: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit sowie Rechenschaftspflicht. Das Bundesarbeitsgericht hat in mehreren Entscheidungen klargestellt, dass die Erforderlichkeit eng auszulegen ist und dass mildere Mittel vorrangig zu prüfen sind. Im CIVAC-Workspace ist die Prüfung der Erforderlichkeit als strukturierte Checkliste hinterlegt: Zweck, Datenkategorie, mildere Mittel, Speicherdauer, Verantwortlichkeit. Damit wird die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO operativ umsetzbar und im Audit unmittelbar nachweisbar. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Bestellurkunde, unterschrieben, abgelegt, belegbar. Wer § 26 BDSG strukturiert anwenden will, sollte zudem die Wechselwirkung mit dem Betriebsverfassungsgesetz mitdenken, weil viele HR-Verarbeitungen zugleich Mitbestimmungstatbestände auslösen und damit eine Doppelprüfung erforderlich machen. Diese Doppelprüfung wird im Workspace als einheitliche Sicht geführt, sodass Datenschutzbeauftragter und Personalbereich denselben Bewertungsstand vor Augen haben und keine widersprüchlichen Auskünfte gegenüber dem Betriebsrat entstehen.
Bewerbermanagement: Was nach § 26 Abs. 1 BDSG erlaubt ist
Im Bewerbungsprozess ist die Datenverarbeitung erforderlich, soweit sie der Entscheidung über die Begründung eines Beschäftigungsverhältnisses dient. Zulässig sind in der Regel die Erhebung des Lebenslaufs, der Zeugnisse, der Qualifikationsnachweise sowie strukturierte Interviewnotizen. Unzulässig sind Fragen nach Schwangerschaft, Religionszugehörigkeit ohne Tendenzbetrieb, Gewerkschaftsmitgliedschaft, Vermögensverhältnissen oder Vorstrafen ohne Bezug zur ausgeschriebenen Position. Die Aufbewahrung der Bewerbungsunterlagen abgelehnter Bewerber ist nach § 15 Abs. 4 AGG für 2 Monate ab Zugang der Ablehnung zulässig, bei Klageandrohung verlängert sich dies bis zum rechtskräftigen Verfahrensabschluss. Eine darüber hinausgehende Aufbewahrung erfordert eine ausdrückliche Einwilligung des Bewerbers, etwa für die Aufnahme in einen Talent-Pool.
Hintergrundprüfungen sind nur zulässig, wenn sie für die konkrete Position erforderlich sind, etwa bei Stellen mit Vermögensverwaltung, Zugang zu sensiblen Daten oder besonderer Vertrauensstellung. Die Prüfung muss verhältnismäßig, dokumentiert und für den Bewerber transparent sein. Im CIVAC-Workspace ist eine Vorlage hinterlegt, die für jede Position das zulässige Prüfprofil definiert: Identitätsprüfung, Qualifikationscheck, Führungszeugnis bei gesetzlicher Notwendigkeit, Solvenzprüfung nur bei Kassenverantwortung. Diese Vorlage adressiert auch die Informationspflicht nach Art. 13 DSGVO im Bewerbungsprozess, die Aufbewahrungsfristen und das Verfahren zur Löschung nach Ablauf der AGG-Frist. Damit lassen sich Bewerbermanagement-Prozesse über Karriereportale, Headhunter-Schnittstellen und HR-Systeme einheitlich strukturieren. Eine Übersicht weiterer Vorlagen für HR-Verarbeitungen finden Sie unter CIVAC-FAQ. Wer Headhunter oder externe Personaldienstleister einbindet, schließt mit diesen einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und dokumentiert die Datenflüsse im Verarbeitungsverzeichnis nach Art. 30 DSGVO, einschließlich Empfängerkategorien, Speicherdauer und Drittlandsbezug. Bei Plattformen mit Sitz außerhalb der EU ist zusätzlich eine Drittlandsbewertung nach Kapitel V DSGVO vorzunehmen und mit Standardvertragsklauseln abzusichern.
Durchführung des Arbeitsverhältnisses: Personalakte, Leistungs- und Verhaltenskontrolle
Während des Arbeitsverhältnisses verarbeitet der Arbeitgeber regelmäßig eine Vielzahl von Beschäftigtendaten. Klassische Felder sind die Personalakte mit Stammdaten, Vertragsunterlagen, Gehaltsabrechnungen und Beurteilungen. Hinzu kommen Zugriffsprotokolle in IT-Systemen, Zeiterfassung, Krankheitsmeldungen, Abwesenheitsplanung und betriebliche Weiterbildung. Jede dieser Verarbeitungen muss nach § 26 Abs. 1 BDSG erforderlich für die Durchführung des Beschäftigungsverhältnisses sein. Die Erforderlichkeit ist nicht abstrakt zu bewerten, sondern konkret für jede Datenkategorie. Beispielsweise ist die Speicherung der Bankverbindung für die Gehaltszahlung erforderlich, die Speicherung der privaten Mobilnummer hingegen nur, wenn eine dienstliche Notwendigkeit besteht oder eine wirksame Einwilligung vorliegt.
Leistungs- und Verhaltenskontrolle sind nur unter strengen Voraussetzungen zulässig. Die Erfassung von Tastatureingaben, die Auswertung von Bildschirmaktivitäten oder die heimliche Videoüberwachung sind in der Regel unzulässig. Zulässig sind anlassbezogene, verhältnismäßige Kontrollen, die in einer Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG geregelt sind. Im CIVAC-Workspace werden alle laufenden HR-Verarbeitungen in einem Verzeichnis nach Art. 30 DSGVO geführt, mit Verantwortlichem, Zweck, Datenkategorie, Empfängern, Löschfristen und technisch-organisatorischen Maßnahmen nach Art. 32 DSGVO. Diese Dokumentation ist die Grundlage für die Berichte an den Betriebsrat, für Stellungnahmen gegenüber der Aufsichtsbehörde und für interne Audits. Der Prüfer ruft an, der Nachweis liegt bereit. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. In der Praxis empfiehlt es sich, die Personalakte digital zu führen und Zugriffsrechte streng nach Funktion und Need-to-know-Prinzip zu vergeben, etwa getrennt nach Personalverwaltung, Lohnabrechnung und Vorgesetztenbewertung. Damit wird die Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO operativ umgesetzt und das Risiko unzulässiger Einsichtnahme reduziert.
Aufklärung von Straftaten nach § 26 Abs. 1 Satz 2 BDSG
Die Aufklärung von Straftaten im Beschäftigungsverhältnis ist nach § 26 Abs. 1 Satz 2 BDSG nur unter vier kumulativen Voraussetzungen zulässig: Es müssen zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, der Verdacht muss sich auf eine Straftat im Beschäftigungsverhältnis beziehen, die Verarbeitung muss zur Aufdeckung erforderlich sein und das schutzwürdige Interesse des Beschäftigten am Ausschluss der Verarbeitung darf nicht überwiegen. Insbesondere die Erforderlichkeit erfordert eine Verhältnismäßigkeitsprüfung: mildere Mittel müssen ausgeschöpft sein, die Maßnahme muss geeignet, erforderlich und angemessen sein. Verdeckte Maßnahmen sind nur als ultima ratio zulässig und müssen nach Abschluss offengelegt werden.
Praktisch bedeutet das: Vor jeder Maßnahme zur Straftatenaufklärung, etwa der Auswertung von E-Mail-Postfächern, der Auswertung von Zutrittsprotokollen oder einer verdeckten Observation, ist die Verhältnismäßigkeitsprüfung schriftlich zu dokumentieren. Im CIVAC-Workspace ist hierfür eine Vorlage hinterlegt, die den Verdachtsmoment, die geprüften milderen Mittel, die geplante Maßnahme, die voraussichtliche Eingriffsintensität und die Eskalationsentscheidung erfasst. Diese Vorlage wird im Falle einer Aufsichtsprüfung oder eines arbeitsgerichtlichen Verfahrens zum zentralen Beweisstück. Bestellurkunde, unterschrieben, abgelegt, belegbar. Audit-fest, dokumentiert, § 26-BDSG-fest. Ohne diese Dokumentation droht ein Beweisverwertungsverbot im Arbeitsgerichtsprozess, das den arbeitsrechtlichen Erfolg einer Kündigung gefährden kann. Weitere Hinweise zur Schnittstelle mit Hinweisgeberschutz finden Sie unter Hinweisgeberschutz-Meldestelle. Gerade die Schnittstelle zwischen Hinweis nach HinSchG und Verdachtsmoment nach § 26 Abs. 1 Satz 2 BDSG erfordert eine saubere Trennung der Verfahren, weil die Hinweisbearbeitung andere Vertraulichkeitsanforderungen hat als die arbeitsrechtliche Verdachtsprüfung. Die im Workspace hinterlegten Vorlagen markieren den Übergang zwischen beiden Verfahren mit eindeutigen Verantwortlichkeiten und verhindern eine versehentliche Vermischung der Beweisspuren.
Einwilligung nach § 26 Abs. 2 BDSG: Wann sie wirklich freiwillig ist
§ 26 Abs. 2 BDSG bestätigt die Möglichkeit der Einwilligung im Beschäftigungskontext, knüpft sie aber an die Freiwilligkeit. Die Freiwilligkeit ist insbesondere dann zu bejahen, wenn für den Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen. Beispiele aus der Rechtsprechung: Die Einwilligung in die Teilnahme an einem freiwilligen betrieblichen Gesundheitsprogramm ist in der Regel wirksam. Die Einwilligung in die Veröffentlichung von Mitarbeiterfotos auf der Unternehmenswebsite kann freiwillig sein, ist aber jederzeit widerruflich. Die Einwilligung in eine umfassende Tastatur-Überwachung wäre dagegen kaum freiwillig, weil die Asymmetrie zu groß ist.
Die Einwilligung bedarf nach § 26 Abs. 2 Satz 3 BDSG der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. In der Praxis bedeutet das eine schriftliche oder elektronische Erklärung mit eindeutiger zustimmender Handlung. Die Einwilligung ist jederzeit widerruflich, und der Widerruf darf keine Nachteile haben. Im CIVAC-Workspace werden Einwilligungen mit Versionsstand, Datum, Inhaltstext, Widerrufsrecht und Widerrufshistorie geführt. Bei jeder neuen Verarbeitung wird geprüft, ob eine Einwilligung tatsächlich erforderlich ist oder ob eine andere Rechtsgrundlage vorrangig wäre, etwa § 26 Abs. 1 BDSG, Art. 6 Abs. 1 lit. b oder f DSGVO oder eine Betriebsvereinbarung nach § 87 BetrVG. Damit reduziert sich die Zahl der Einwilligungen auf die wirklich erforderlichen Fälle und das Risiko unwirksamer Einwilligungen sinkt deutlich. Wer auf Einwilligung als Rechtsgrundlage angewiesen ist, sollte zudem das Verfahren für den Widerruf konkret beschreiben, einschließlich der Stelle, an die der Widerruf zu richten ist, und der Konsequenzen für die fortlaufende Verarbeitung. Frist läuft ab Kenntnis.
Besondere Datenkategorien, Betriebsvereinbarungen und Mitbestimmung
§ 26 Abs. 3 BDSG regelt die Verarbeitung besonderer Datenkategorien nach Art. 9 DSGVO im Beschäftigungskontext. Dazu zählen Gesundheitsdaten, Daten zur ethnischen Herkunft, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten sowie Daten zum Sexualleben. Die Verarbeitung ist nur zulässig, soweit sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist. Beispiel: Die Verarbeitung der Sozialversicherungsnummer und der Krankenkasse ist erforderlich. Die Erhebung der Religionszugehörigkeit ist nur zur Berechnung der Kirchensteuer erforderlich, nicht für andere Zwecke.
§ 26 Abs. 4 BDSG öffnet die Verarbeitung für Kollektivvereinbarungen, insbesondere Betriebsvereinbarungen und Tarifverträge. Eine Betriebsvereinbarung kann als eigenständige Rechtsgrundlage im Sinne des Art. 88 DSGVO dienen, sofern sie die Anforderungen an Transparenz, Zweckbindung und Datenminimierung erfüllt. Die Beteiligung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG ist zwingend, wenn technische Einrichtungen zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmer eingeführt werden sollen. Im CIVAC-Workspace ist eine Vorlage für die datenschutzrechtliche Bewertung von Betriebsvereinbarungen hinterlegt, die Geltungsbereich, Zweck, Datenkategorien, Empfängerkreis, Speicherfristen, Betroffenenrechte und Berichtspflichten an den Betriebsrat erfasst. Damit lassen sich Betriebsvereinbarungen und Datenschutz-Folgenabschätzungen nach Art. 35 DSGVO verzahnt führen. Eine Übersicht weiterer Beauftragten-Rollen finden Sie unter CIVAC Roles. Wichtig in Konzernverbünden: Eine Konzernbetriebsvereinbarung kann nach § 58 BetrVG einheitliche Standards setzen, soweit die jeweilige Mitbestimmungszuständigkeit beachtet wird; die datenschutzrechtliche Bewertung bleibt jedoch je Tochtergesellschaft als eigenständigem Verantwortlichem zu führen. Im Workspace wird diese Trennung durch eigene Verzeichnisräume je Gesellschaft mit konsolidiertem Konzernblick auf Wunsch sauber abgebildet.
Beendigung des Beschäftigungsverhältnisses: Löschfristen und Aufbewahrungspflichten
Mit der Beendigung des Beschäftigungsverhältnisses entsteht die Pflicht, Beschäftigtendaten zu prüfen, zu archivieren oder zu löschen. Maßgeblich ist Art. 17 DSGVO in Verbindung mit den Aufbewahrungsfristen nach Steuer-, Handels- und Sozialversicherungsrecht. Lohnsteuer- und sozialversicherungsrechtliche Unterlagen sind nach § 41 EStG und § 28f SGB IV grundsätzlich 6 Jahre aufzubewahren, handelsrechtlich relevante Belege nach § 257 HGB 10 Jahre. Personalakten als solche haben keine pauschale gesetzliche Aufbewahrungsfrist und sind nach Ende des Beschäftigungsverhältnisses zu prüfen. Eine pauschale 10-jährige Aufbewahrung sämtlicher Personalunterlagen ist datenschutzrechtlich nicht gedeckt.
Im CIVAC-Workspace wird für jede Datenkategorie der Personalakte eine eigene Löschfrist definiert. Gehaltsabrechnungen folgen der lohnsteuerrechtlichen Frist, Bewerbungsunterlagen der AGG-Frist von 2 Monaten, Abmahnungen der arbeitsrechtlichen Tilgungsfrist, Zeugnisentwürfe der bewerberbezogenen Erforderlichkeit. Nach Ablauf der jeweiligen Frist wird die Datenkategorie automatisch zur Löschung vorgemerkt, dokumentiert und nach Freigabe gelöscht. Damit ist der Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO operativ umgesetzt. Audit-fest, dokumentiert, Art. 5-DSGVO-fest. Für Konzernstrukturen mit zentralem HR-System ist die Konfiguration unternehmenseinheitlich, mit lokalen Abweichungen nur bei zwingender gesetzlicher Vorgabe in der jeweiligen Tochtergesellschaft. Diese Konfigurierbarkeit reduziert die Anzahl der manuellen Löschvorgänge erheblich und schließt die häufigste Lücke in HR-Datenbeständen, nämlich die nicht gelöschte Restdatenmenge ehemaliger Mitarbeitender. Bestellurkunde, unterschrieben, abgelegt, belegbar. Eine zusätzliche Komponente ist das Löschkonzept als eigenständiges Dokument, das Datenkategorien, Fristen, Lösungspfade und Verantwortlichkeiten konsolidiert und bei Aufsichtsprüfungen unmittelbar vorgelegt werden kann. Das Konzept wird jährlich überprüft und an neue Aufbewahrungsfristen angepasst, etwa wenn der Gesetzgeber steuerliche oder sozialversicherungsrechtliche Fristen verkürzt oder verlängert.
Kontrollen, Bußgelder und arbeitsgerichtliche Folgen
Verstöße gegen § 26 BDSG werden von zwei Seiten sanktioniert. Erstens durch die Datenschutzaufsicht, die nach Art. 83 DSGVO Bußgelder bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen kann. Beispiele aus der Praxis: Bußgelder im sechsstelligen Bereich für unverhältnismäßige Videoüberwachung in Lagerräumen, Bußgelder im niedrigen siebenstelligen Bereich für die Auswertung von Mitarbeiter-E-Mail-Konten ohne wirksame Rechtsgrundlage. Zweitens durch die Arbeitsgerichte: Datenschutzrechtswidrig erlangte Beweise unterliegen häufig einem Beweisverwertungsverbot, was den arbeitsrechtlichen Erfolg einer Kündigung im Einzelfall zunichtemachen kann. Hinzu kommen Schadensersatzansprüche nach Art. 82 DSGVO und immaterieller Schadensersatz nach der Rechtsprechung des EuGH und des BAG.
Im CIVAC-Workspace ist eine Vorlage hinterlegt, die jeden Vorfall im Beschäftigtenkontext strukturiert erfasst: Sachverhalt, geprüfte Rechtsgrundlage, Verhältnismäßigkeitsprüfung, Berichtslinie an die Geschäftsführung, Einbindung des Betriebsrats, Stellungnahme des Datenschutzbeauftragten. Diese Vorlage bildet die Grundlage für die Verteidigung gegenüber Aufsichtsbehörden und Arbeitsgerichten. Der Prüfer ruft an, der Nachweis liegt bereit. Ergänzend wird eine Risikoampel geführt, die HR-Verarbeitungen nach ihrer Eingriffsintensität klassifiziert: grün für unkritische Routineverarbeitungen, gelb für Verarbeitungen mit Mitbestimmungspflicht, rot für Verarbeitungen mit Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Diese Ampel ist die Basis für die jährliche HR-Risikoabschätzung und für die Themensetzung des nächsten internen Audits. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Audit-fest, dokumentiert, § 26-BDSG-fest. Die strukturierte Vorhaltung dieser Informationen senkt die Reaktionszeit gegenüber Aufsichtsbehörden bei stichprobenartigen Auskunftsersuchen nach Art. 58 DSGVO deutlich. Sie ist zugleich die Grundlage für die jährliche Berichtspflicht an die Geschäftsführung nach Art. 38 Abs. 3 DSGVO und für die Aktualisierung des Schulungsplans.
Vom Paragrafen zur Praxis: § 26 BDSG mit CIVAC umsetzen
Wenn Sie die Umsetzung des § 26 BDSG strukturieren wollen, sind drei Schritte hilfreich. Erstens: Erstellen Sie ein vollständiges Verzeichnis aller HR-bezogenen Verarbeitungstätigkeiten nach Art. 30 DSGVO. Zweitens: Prüfen Sie für jede Verarbeitung die Rechtsgrundlage nach § 26 BDSG und ergänzen Sie gegebenenfalls Betriebsvereinbarungen, Einwilligungen oder andere Grundlagen. Drittens: Legen Sie für jede Datenkategorie eine konkrete Löschfrist fest und definieren Sie das Verfahren für die Wahrnehmung von Betroffenenrechten nach Art. 15 bis 22 DSGVO. Diese drei Schritte bilden das Fundament, auf dem laufende Anpassungen, etwa bei neuen HR-Tools oder neuen Mitbestimmungstatbeständen, aufsetzen.
CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit EU-Datenresidenz. Im Workspace finden Sie 490 Audit-Vorlagen, darunter Vorlagen für Bewerbermanagement, Personalakte, Zeiterfassung, Videoüberwachung, Beweisbeschaffung im Verdachtsfall, Betriebsvereinbarungen und Löschkonzept. Der externe Datenschutzbeauftragte wird innerhalb von 2 Werktagen bestellt, mit Bestellurkunde, Aufgabenkatalog und Berichtslinie an die Geschäftsführung. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Wir senden Ihnen ein verbindliches Angebot mit Leistungsverzeichnis, Vertragsentwurf und Bestellurkunde innerhalb von 2 Werktagen. Wer parallel Informationssicherheit, Hinweisgeberschutz oder Geldwäscheprävention abdecken muss, bündelt die Rollen im selben Workspace und hebt Synergien zwischen den Beauftragtenfunktionen. Im typischen Ablauf vergehen vom Erstkontakt bis zur produktiven Plattform inklusive HR-Schwerpunkt etwa 4 Wochen, abhängig davon, wie strukturiert das bestehende Verarbeitungsverzeichnis ist und ob Betriebsvereinbarungen bereits in Schriftform vorliegen. Die externe Bestellung des Datenschutzbeauftragten erfolgt parallel innerhalb von 2 Werktagen und ist ab der Unterschrift voll wirksam.
FAQ
Gilt § 26 BDSG auch für Geschäftsführer und Vorstände?
Der Beschäftigtenbegriff nach § 26 Abs. 8 BDSG umfasst auch Beamte, Auszubildende, Praktikanten und Leiharbeitnehmer. Organmitglieder wie Geschäftsführer und Vorstände sind grundsätzlich nicht erfasst, ihre Datenverarbeitung richtet sich nach Art. 6 DSGVO und den Bestimmungen des Dienstvertrags. In Konzernstrukturen empfiehlt sich eine separate Rechtsgrundlage, eine eigene Informationspflicht nach Art. 13 DSGVO und eine eindeutige Zuständigkeit für die Pflege dieser Datenbestände.
Darf ich Bewerbungsunterlagen abgelehnter Bewerber für einen Talent-Pool speichern?
Die gesetzliche Aufbewahrungsfrist nach § 15 Abs. 4 AGG endet 2 Monate nach Zugang der Ablehnung. Eine darüber hinausgehende Speicherung für einen Talent-Pool erfordert eine ausdrückliche, schriftliche Einwilligung des Bewerbers nach § 26 Abs. 2 BDSG mit klarer Zweckbeschreibung, Speicherdauer und jederzeitigem Widerrufsrecht. Ohne diese Einwilligung ist die Aufbewahrung unzulässig.
Welche Rolle spielt der Betriebsrat bei der Umsetzung des § 26 BDSG?
Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 BetrVG ein zwingendes Mitbestimmungsrecht bei Einführung und Anwendung technischer Einrichtungen, die zur Überwachung von Verhalten oder Leistung geeignet sind. Eine Betriebsvereinbarung kann zugleich als datenschutzrechtliche Rechtsgrundlage nach § 26 Abs. 4 BDSG dienen, sofern sie die Anforderungen an Transparenz und Datenminimierung erfüllt.
Wie lange darf ich Personalakten ehemaliger Mitarbeitender aufbewahren?
Es gibt keine pauschale gesetzliche Frist für Personalakten. Maßgeblich sind die jeweiligen Aufbewahrungsfristen je Datenkategorie: lohnsteuerrechtliche Unterlagen 6 Jahre nach § 41 EStG, handelsrechtlich relevante Belege 10 Jahre nach § 257 HGB. Datenkategorien ohne gesetzliche Frist sind nach Beendigung zu prüfen und in der Regel innerhalb weniger Jahre zu löschen. Audit-fest, dokumentiert, Art. 5-DSGVO-fest.
Kann ich Mitarbeiter-E-Mail-Konten bei Verdacht auf Straftaten auswerten?
Eine Auswertung ist nach § 26 Abs. 1 Satz 2 BDSG nur zulässig, wenn tatsächliche Anhaltspunkte für eine Straftat im Beschäftigungsverhältnis vorliegen, mildere Mittel ausgeschöpft sind und die Verhältnismäßigkeit dokumentiert ist. Bei erlaubter Privatnutzung verschärfen sich die Anforderungen erheblich, weil das Fernmeldegeheimnis nach § 88 TKG zusätzlich greifen kann. Eine schriftliche Bewertung ist zwingend.
Welche Vorlagen unterstützt CIVAC für die Umsetzung des § 26 BDSG?
Der CIVAC-Workspace enthält Vorlagen für Bewerbermanagement, Personalakte, Zeiterfassung, Videoüberwachung, Verdachtsfallbearbeitung, Betriebsvereinbarungen, Einwilligungserklärungen, Löschkonzept und Datenschutz-Folgenabschätzung. Alle Vorlagen sind versioniert, mit Verantwortlichem und Prüfdatum hinterlegt und im Audit unmittelbar exportierbar. Lizenzieren Sie den Workspace für Ihre internen Beauftragten, oder lassen Sie unsere Beauftragten bestellen. Ein zweiseitiges Leistungsverzeichnis erhalten Sie auf Anfrage über info@civac.de.
Klingt nach viel Arbeit?
Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.
Aus dem Beitrag ein Mandat machen.
Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.