Inhalt in Kürze
Mitarbeiterdaten sind Chefsache. Geschäftsführer haften persönlich, wenn der Datenschutz nicht funktioniert. Dieser Artikel zeigt Ihnen die zwölf wichtigsten Pflichten nach DSGVO und BDSG, was sich durch das geplante Beschäftigtendatengesetz ändert und wie Sie HR-Software, Microsoft 365 und Personalakten so absichern, dass Audits, Bußgelder und Reputationsschäden ausbleiben.
Warum Mitarbeiterdaten der heikelste Datenschutz-Bereich sind
Kundendaten kennen Sie. Newsletter-Adressen kennen Sie. Aber bei Mitarbeiterdaten fließen drei Welten zusammen, die selten gut zueinander passen: Arbeitsrecht, Datenschutzrecht und IT-Sicherheit. Eine Personalakte enthält Stammdaten, Gehaltsdaten, Krankheitstage, Abmahnungen, Bewertungen, Schulungsstände, Zeiterfassung, Zugangskontroll-Logs, Mitarbeiterfotos und im Konfliktfall auch interne Schriftverkehre. Jeder dieser Datentöpfe hat eine eigene Rechtsgrundlage, eine eigene Aufbewahrungsfrist und eigene Zugriffsregeln.
Hinzu kommt: Die Aufsichtsbehörden sind 2025 deutlich aktiver geworden. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat in seinem Tätigkeitsbericht 2024 mehrfach betont, dass Beschäftigtendatenschutz zu den Schwerpunkten gehört - vor allem in den Branchen Gesundheit, Logistik und Software. Wer hier patzt, riskiert nicht nur Bußgelder, sondern auch persönliche Haftung der Geschäftsführung nach § 43 GmbHG.
Wir sehen es jede Woche: Geschäftsführer wissen, dass ihre Buchhaltung sauber laufen muss. Beim Beschäftigtendatenschutz herrscht oft eine erstaunliche Lücke. Dabei liegen genau hier die größten Bußgeld-Risiken - weil Mitarbeitende, anders als Kunden, jederzeit Auskunft fordern dürfen.
Jens Hagel, Geschäftsführer hagel IT-Services GmbH
1. Rechtsgrundlagen 2026: Was § 26 BDSG, DSGVO und das geplante BeschDG sagen
Aktuell stützt sich der Beschäftigtendatenschutz auf zwei Säulen: die Datenschutz-Grundverordnung (DSGVO) als europäische Klammer und das Bundesdatenschutzgesetz (BDSG) mit der zentralen Norm § 26 für die Datenverarbeitung im Arbeitsverhältnis. § 26 BDSG erlaubt die Verarbeitung, soweit sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist - dazu gehört auch die Aufdeckung von Straftaten unter engen Voraussetzungen.
Das wackelt aktuell juristisch: Der Europäische Gerichtshof hat mit Urteil vom 30. März 2023 (C-34/21) festgestellt, dass § 26 Abs. 1 Satz 1 BDSG nicht ausreichend europarechtskonform ist. Der Bundesdatenschutzbeauftragte fordert seit Jahren ein eigenes Beschäftigtendatengesetz, und das Bundesarbeitsministerium hat am 8. Oktober 2024 einen Referentenentwurf für ein Beschäftigtendatengesetz (BeschDG) vorgelegt. Auf 84 Seiten und in 30 Paragrafen regelt er Videoüberwachung, GPS-Ortung, KI-Auswertungen, Whistleblowing und Pre-Employment-Screening präziser als bisher.
Bis zur Verabschiedung gilt § 26 BDSG weiter. Trotzdem: Wer 2026 neue HR-Tools einführt, sollte sich am BeschDG-Entwurf orientieren - sonst muss in 12 bis 18 Monaten doppelt nachgearbeitet werden. Besonders KI-gestützte Bewertungstools, Skill-Matching-Plattformen und Chatbot-basierte Mitarbeiterumfragen gehören in jede Roadmap-Prüfung.
Welche Daten dürfen Sie überhaupt erheben?
Die Faustregel lautet Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO: Nur das, was für den Zweck erforderlich ist. Im Arbeitsalltag heißt das:
- Bewerbungsphase: Lebenslauf, Zeugnisse, Anschreiben, Kontaktdaten - keine Fragen nach Familienplanung, Gewerkschaftsmitgliedschaft, Krankheiten oder politischer Einstellung.
- Einstellung: Steuer-ID, Sozialversicherungsnummer, Bankverbindung, Geburtsdatum, Adresse, ggf. Aufenthaltstitel.
- Während des Arbeitsverhältnisses: Zeiterfassung, Urlaubskonto, Schulungsnachweise, Leistungsbewertung (mit Augenmaß), Krankheitstage (nicht Diagnosen!).
- Bei Austritt: Zeugnis, Resturlaub, Abrechnung, Rückgabe von Equipment dokumentiert.
Sensible Daten nach Art. 9 DSGVO (Gesundheit, Religion, Gewerkschaft, sexuelle Orientierung, Herkunft) sind tabu, außer es gibt eine spezialgesetzliche Erlaubnis - z. B. Religion für die Lohnsteuer, Schwerbehinderung für die SGB-IX-Pflichten, Gesundheitsuntersuchungen für sicherheitsrelevante Tätigkeiten.
2. Die zwölf Pflichten der Geschäftsführung im Überblick
| # | Pflicht | Rechtsgrundlage | Frist / Schwelle |
|---|---|---|---|
| 1 | Verzeichnis von Verarbeitungstätigkeiten | Art. 30 DSGVO | ab 1. Mitarbeiter |
| 2 | Datenschutzbeauftragten bestellen | § 38 BDSG | ab 20 MA mit autom. Verarbeitung |
| 3 | Beschäftigte transparent informieren | Art. 13/14 DSGVO | bei Erhebung |
| 4 | Auftragsverarbeitungsverträge mit Dienstleistern | Art. 28 DSGVO | vor Datenfluss |
| 5 | Technisch-organisatorische Maßnahmen (TOM) | Art. 32 DSGVO | laufend |
| 6 | Datenschutz-Folgenabschätzung | Art. 35 DSGVO | bei hohem Risiko |
| 7 | Meldung von Datenpannen | Art. 33 DSGVO | 72 h |
| 8 | Auskunft, Löschung, Berichtigung umsetzen | Art. 15-22 DSGVO | 1 Monat |
| 9 | Löschkonzept und Aufbewahrungsfristen | Art. 5 lit. e DSGVO | dokumentiert |
| 10 | Mitarbeiter-Schulung | Art. 39 DSGVO | jährlich empfohlen |
| 11 | Betriebsrat bei Mitbestimmung beteiligen | § 87 BetrVG | vor Einführung |
| 12 | Drittlandtransfers absichern | Art. 44-49 DSGVO | bei Cloud-Tools |
Die Liste sieht nach viel aus, ist aber überschaubar, wenn Sie strukturiert vorgehen. In der Praxis scheitern die meisten Unternehmen an drei Punkten: dem fehlenden Verarbeitungsverzeichnis, dem nicht gelebten Löschkonzept und den fehlenden AV-Verträgen mit Cloud-HR-Anbietern.
- Personalreferenten greifen auf zu viel zu. Wer das gesamte HR-Postfach lesen kann, sieht auch Krankmeldungen anderer Abteilungen - das ist regelmäßig zu weit gefasst.
- WhatsApp im Recruiting. Bewerber-Kommunikation per privatem Messenger ist ohne AV unzulässig - klassischer Befund bei kleineren Firmen.
- Excel-Schattenakten. Listen mit Geburtstagen, Krankheitstagen, Geburten auf Personalreferenten-Laptops ohne Verschlüsselung sind ein Klassiker.
3. ePersonalakte und HR-Software: Was 2026 Standard sein sollte
Die ePersonalakte hat sich durchgesetzt - Personio, HRworks, rexx, sage HR und SAP SuccessFactors decken den deutschen Mittelstand ab. Aus Datenschutzsicht achten Sie auf fünf Punkte:
- EU-Hosting (idealerweise Deutschland). Drittland-Transfers nach US (Art. 44 ff. DSGVO) sind seit dem Wegfall des Privacy Shield ein Dauerbrenner. Auch das Data Privacy Framework (2023) hilft nur, wenn der Anbieter zertifiziert ist - prüfen.
- Auftragsverarbeitungsvertrag (AVV). Pflicht nach Art. 28 DSGVO. Achten Sie auf Subunternehmer, Löschfristen, Audit-Rechte, technische Anlagen.
- Rollen- und Rechtekonzept. Personalreferentin sieht nur ihre Abteilung. Geschäftsführung sieht alle. Buchhaltung sieht Gehaltsdaten, aber keine Krankmeldungen. IT-Admins haben keinen fachlichen Zugriff.
- Audit-Logs aktivieren. Wer hat wann auf welche Akte zugegriffen? Bei Verdacht auf unbefugten Zugriff (z. B. nach Kündigungsstreit) brauchen Sie das nachvollziehbar.
- Löschautomatik. Aufbewahrungsfristen sollten am Datensatz hängen, nicht in einem Excel-Sheet. 6 Jahre für Lohnunterlagen (§ 257 HGB), 10 Jahre für steuerrelevante Belege (§ 147 AO), 3 Jahre für reine Personaldaten ohne Steuerbezug.
Saubere Rollen- und Löschkonzepte für die ePersonalakte sind 2026 nicht mehr Kür, sondern Pflicht.
Microsoft 365 als HR-Plattform: Fluch und Segen
Viele unserer Hamburger Kunden nutzen Microsoft 365 für die HR-Ablage - SharePoint-Bibliotheken, Teams-Kanäle, OneDrive, Outlook-Postfächer. Das ist datenschutzrechtlich machbar, wenn Sie drei Werkzeuge konsequent einsetzen: Sensitivity Labels, Conditional Access und Microsoft Purview Information Protection. Sensitivity Labels verschlüsseln HR-Dokumente automatisch - selbst wenn jemand eine Datei versehentlich an einen externen Empfänger schickt, kann sie nicht geöffnet werden. Conditional Access erzwingt MFA für jeden HR-App-Zugriff und blockt Zugriffe von außerhalb der EU. Wer Microsoft 365 strategisch einsetzen will, findet auf unserer Seite Cloud & Microsoft 365 Hamburg eine Übersicht der Lizenzpakete und Sicherheits-Add-ons.
Unsicher, ob Ihre HR-IT DSGVO-fest ist?
Wir prüfen in 60 Minuten Ihre Personalakte, M365-Konfiguration und HR-Software auf typische Schwachstellen - kostenlos und ohne Hardselling.
Erstgespräch buchen →4. Rechte der Mitarbeitenden: Auskunft, Löschung, Widerspruch in der Praxis
Die DSGVO gibt Beschäftigten ein Bündel an Betroffenenrechten. Im Arbeitsalltag relevant sind vor allem:
- Auskunftsrecht (Art. 15): Welche Daten haben Sie über mich, woher, wofür, an wen weitergegeben, wie lange gespeichert? Antwortfrist: 1 Monat, einmalig um 2 Monate verlängerbar mit Begründung. Auch Rohdaten aus Zeiterfassung, Zugangskontrolle und Performance-Reviews fallen darunter.
- Berichtigung (Art. 16): Falsche Stammdaten korrigieren. Trivial, aber häufig vergessen, wenn Mitarbeitende umziehen oder heiraten.
- Löschung / Recht auf Vergessenwerden (Art. 17): Greift, sobald die Verarbeitung nicht mehr erforderlich ist - kollidiert oft mit Aufbewahrungsfristen, die Vorrang haben. Klare Kommunikation hilft.
- Einschränkung (Art. 18): Bei laufenden Streitigkeiten dürfen Daten nur eingeschränkt verarbeitet werden.
- Datenübertragbarkeit (Art. 20): Beim Wechsel des Arbeitgebers - in der Praxis selten genutzt, aber zu prüfen.
- Widerspruch (Art. 21): Vor allem gegen automatisierte Profilbildung, Performance-Ranking, KI-Bewertungen.
Der typische Stresstest: Eine gekündigte Mitarbeiterin verlangt Auskunft nach Art. 15 DSGVO. Wenn Sie keinen DSAR-Prozess (Data Subject Access Request) haben, vergehen die 30 Tage rasend schnell - und der Anspruch ist juristisch klar einklagbar.
- Verzeichnis von Verarbeitungstätigkeiten aktuell und versioniert
- Datenschutzbeauftragter bestellt und in Behörde gemeldet (ab 20 MA)
- Datenschutzhinweise für Beschäftigte (Onboarding-Paket)
- AV-Verträge mit allen HR-Dienstleistern und Cloud-Anbietern
- TOM-Konzept dokumentiert (Verschlüsselung, Backup, Zutritt, MFA)
- Löschkonzept nach DIN 66398 mit Fristen-Matrix
- DSAR-Prozess mit Verantwortlichen und Eskalationspfad
- Incident-Response-Playbook und 72-h-Meldevorlage
- Sensitivity Labels in Microsoft 365 für HR-Dokumente
- Conditional Access mit MFA für HR-Apps
- Audit-Logs in HR-Software aktiviert und ausgewertet
- Jährliche DSGVO-Schulung für alle Mitarbeitenden
- Betriebsrats-Vereinbarungen für IT-Systeme nach § 87 BetrVG
- Drittlandtransfer-Prüfung für US-Tools dokumentiert
- Geschäftsführung unterzeichnet TOM-Verantwortung jährlich
5. Datenpannen: Was tun, wenn ein Laptop verloren geht?
Stellen Sie sich vor, Ihr Personalreferent verliert auf der S-Bahn zwischen Altona und Pinneberg seinen Dienstlaptop. Auf der Festplatte: Lohnabrechnungen von 80 Mitarbeitenden. Was jetzt?
Gerät per MDM/Intune sperren und remote wipen. Passwörter aller HR-Konten zurücksetzen. IT-Partner alarmieren - Forensik bereitstellen.
War die Festplatte verschlüsselt (BitLocker)? Welche Daten waren betroffen? Bestand hohes Risiko für die Beschäftigten? Dokumentieren Sie - das schreibt Art. 33 Abs. 5 DSGVO vor.
An den HmbBfDI über das Online-Meldeformular - auch wenn der Vorfall harmlos erscheint, lieber melden als verschweigen.
Bei hohem Risiko (z. B. unverschlüsselte Daten) müssen die Betroffenen direkt informiert werden - klar, verständlich, ohne Beschönigung.
Ursachen analysieren, TOMs nachschärfen, Verfahren dokumentieren. Aufsichtsbehörden honorieren transparente Aufarbeitung.
In der Praxis trennt der Härtefall die Spreu vom Weizen. Wer kein Notfallhandbuch hat, verbringt die ersten 24 Stunden mit Telefonketten - und verpasst die 72-Stunden-Frist. Wenn Sie noch keinen Incident-Response-Plan haben, helfen unsere Cybersecurity Hamburg-Spezialisten beim Aufbau in 5 Tagen.
6. Mitbestimmung des Betriebsrats: Wer den vergisst, hat schon verloren
Sobald Sie ein technisches System einführen, das geeignet ist, das Verhalten oder die Leistung der Beschäftigten zu überwachen, hat der Betriebsrat ein echtes Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Das gilt für:
- Zeiterfassungssysteme
- Zugangskontrolle / Türöffner
- Performance-Dashboards in Microsoft Viva oder ähnlichem
- Skill-Plattformen mit Bewertungslogik
- Videoüberwachung am Arbeitsplatz
- KI-gestützte Recruiting-Tools
- E-Mail- und Internet-Monitoring
Ohne Betriebsvereinbarung darf das System nicht produktiv gehen. Im Konflikt entscheidet die Einigungsstelle - mit empfindlichen Verzögerungen und Kosten. Saubere Vorbereitung zahlt sich aus: Datenschutzkonzept, Zweckbindung, Rollenmodell und Löschkonzept frühzeitig mit dem BR durchsprechen, dann läuft die Einführung deutlich glatter.
Datenschutz und Mitbestimmung sind keine zwei separaten Themen, sondern eine gemeinsame Aufgabe. Wer den Betriebsrat von Anfang an einbindet, vermeidet 80 Prozent der typischen DSGVO-Reibungspunkte bei IT-Einführungen.
7. Sieben Schritte für KMU in Hamburg und Norddeutschland
So bauen Sie Beschäftigtendatenschutz in 90 Tagen auf belastbares Niveau:
- Tag 1-7: Bestandsaufnahme. Welche HR-Tools sind im Einsatz? Welche Daten fließen wohin? Personio, Outlook, SharePoint, Excel-Schattenakten - alles erfassen.
- Tag 8-21: Verarbeitungsverzeichnis und AV-Verträge. Lückenanalyse, fehlende Verträge nachholen, Drittlandtransfers prüfen.
- Tag 22-35: Rollen- und Berechtigungsmodell. Personalreferenten, Buchhaltung, Geschäftsführung, IT - klare Trennung mit Audit-Logs.
- Tag 36-50: Löschkonzept und DSAR-Prozess. Aufbewahrungsfristen-Matrix, Löschautomatik in HR-Software, DSAR-Workflow mit Verantwortlichen.
- Tag 51-65: Technische Härtung. Microsoft Purview, Sensitivity Labels, Conditional Access, MFA, Backup-Strategie 3-2-1.
- Tag 66-80: Schulung und Sensibilisierung. Alle Mitarbeitenden - Geschäftsführung zuerst. Phishing-Simulationen, DSGVO-Microlearning.
- Tag 81-90: Audit und Notfallübung. DSAR-Drill, Incident-Response-Test, Betriebsrats-Review. Ergebnisse dokumentiert.
Für Hamburger Mittelstandskunden begleiten wir den Prozess als externes IT-Team Schulter an Schulter mit Ihrem Datenschutzbeauftragten und Ihrer HR-Abteilung. Mehr zu unserem Modell auf Managed IT Services Hamburg und der Compliance-Seite NIS2 & IT-Compliance Hamburg.
8. Branchen-Spezifika: Was Sie kennen sollten
Nicht alle Branchen sind gleich:
- Gesundheitswesen (Praxen, Pflege, Krankenhäuser): § 22 BDSG, Schweigepflicht nach § 203 StGB, KHZG-Anforderungen. Mehr unter IT-Dienstleister für Arztpraxen & Gesundheitswesen.
- Steuerberater und Anwälte: Berufsgeheimnis, BRAO/StBerG-Pflichten, hohe Aufbewahrungsanforderungen. Siehe IT-Dienstleister für Steuerberater & Kanzleien und IT-Dienstleister für Rechtsanwälte & Kanzleien.
- Logistik: GPS-Ortung von Fahrzeugen ist ein Dauerbrenner, Telematik-Daten sind oft Beschäftigtendaten - Mitbestimmung Pflicht. Details auf IT-Dienstleister für Logistik & Spedition.
- Handwerk: Kleinere Belegschaften, oft kein DSB nötig - aber Schattenakten, WhatsApp-Gruppen und Foto-Dokumentation sind Risiken.
Externe Quellen für die Vertiefung
- BfDI - FAQ Beschäftigtendatenschutz - offizielle Behördensicht des Bundesbeauftragten
- § 26 BDSG im Volltext - die zentrale Norm im Wortlaut
- Update zum Beschäftigtendatengesetz - LUTHER - juristische Einordnung des Referentenentwurfs
Wir hatten ein Patchwork aus Personio, SharePoint und Excel-Listen. hagel IT hat in 8 Wochen ein sauberes Rollen-Konzept, Audit-Logs und ein Löschkonzept aufgebaut - jetzt wissen wir bei jeder DSAR sofort, wo die Daten liegen. Vor allem unser Betriebsrat ist deutlich entspannter.
HR-Leiterin, Hamburger Logistik-Mittelstand (180 MA)
Fazit: Beschäftigtendatenschutz als Führungsthema 2026
Der Datenschutz für Mitarbeiterdaten ist 2026 keine Compliance-Fußnote mehr. Mit dem geplanten Beschäftigtendatengesetz, der EuGH-Linie zu § 26 BDSG und der zunehmend aktiven Aufsichtsbehörden wird er zu einem echten Führungsthema - mit persönlicher Haftung der Geschäftsführung. Die gute Nachricht: Mit einem strukturierten 90-Tage-Plan, sauberer HR-Software, Microsoft Purview und einem klaren DSAR-Prozess bekommen auch KMU das Thema in den Griff.
Wenn Sie als Geschäftsführer eines Hamburger Unternehmens wissen wollen, wo Sie heute stehen, kommen Sie auf uns zu. Als IT-Systemhaus Hamburg begleiten wir seit Jahren Mittelständler von der Personalakte bis zum Microsoft-365-Setup - praxisnah, ohne Beraterdeutsch.
Bereit, Ihren Beschäftigtendatenschutz auf 2026-Niveau zu bringen?
15 Minuten Erstgespräch. Kostenlos. Ehrliche Einschätzung Ihrer aktuellen Lage.
Erstgespräch buchen →
