Der Beschäftigtendatenschutz in Deutschland wird zentral durch Paragraph 26 BDSG geregelt, der die Öffnungsklausel des Art. 88 DSGVO nutzt. Erwägungsgrund 155 DSGVO erlaubt den Mitgliedstaaten ausdrücklich, spezifische Vorschriften für den Beschäftigtendatenschutz zu erlassen.
Grundregel (Paragraph 26 Abs. 1 S. 1 BDSG): Personenbezogene Daten von Beschäftigten dürfen verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, für dessen Durchführung oder Beendigung oder zur Erfüllung von Rechten und Pflichten der Interessenvertretung erforderlich ist. Der Erforderlichkeitsmassstab ist streng: Nur Daten, die für den konkreten Zweck wirklich gebraucht werden, dürfen verarbeitet werden.
Straftataufdeckung (Paragraph 26 Abs. 1 S. 2 BDSG): Zur Aufdeckung von Straftaten im Beschäftigungsverhältnis dürfen Daten nur verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte einen Straftatverdacht begründen, die Verarbeitung erforderlich ist und die Maßnahme nicht unverhältnismäßig ist. Verdachtsunabhängige Überwachung oder Vorratsspeicherung ist unzuläßig (DSK-Kurzpapier Nr. 14).
Einwilligung (Paragraph 26 Abs. 2 BDSG): Im Beschäftigungsverhältnis ist die Einwilligung wegen des Abhängigkeitsverhältnisses nur eingeschränkt tauglich. Freiwilligkeit kann vorliegen, wenn der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erlangt oder gleichgelagerte Interessen bestehen (z.B. Privatnutzung des Dienstwagens, Geburtstagslisten). Die Einwilligung muss schriftlich oder elektronisch erfolgen.
Besondere Datenkategorien (Paragraph 26 Abs. 3 BDSG): Sensible Daten (Gesundheit, Gewerkschaftszugehörigkeit, Religion) dürfen verarbeitet werden, wenn dies zur Erfüllung arbeits- oder sozialrechtlicher Pflichten erforderlich ist. Angemessene Schutzmassnahmen nach Paragraph 22 Abs. 2 BDSG sind zwingend.
Kollektivvereinbarungen (Paragraph 26 Abs. 4 BDSG): Betriebsvereinbarungen und Tarifverträge können als eigenständige Rechtsgrundlage dienen. Das Schutzniveau der DSGVO darf jedoch nicht unterschritten werden (Art. 88 Abs. 2 DSGVO).
Weiter Beschäftigtenbegriff (Paragraph 26 Abs. 8 BDSG): Erfasst werden Arbeitnehmer, Leiharbeiter, Auszubildende, Praktikanten, Freiwillige, Heimarbeiter, Beamte, Soldaten sowie Bewerber und ehemalige Beschäftigte.