Der Schutz personenbezogener Daten gewinnt im digitalen Zeitalter immer mehr an Bedeutung – nicht zuletzt am Arbeitsplatz. Arbeitgeber verarbeiten eine Vielzahl sensibler Informationen über ihre Mitarbeiter, von Kontaktdaten über Leistungsbeurteilungen bis hin zu Gesundheitsinformationen. Doch wann und unter welchen Bedingungen ist es dem Arbeitgeber überhaupt erlaubt, diese Daten weiterzugeben? Diese Frage birgt rechtliche Fallstricke und ist häufig Gegenstand von Unsicherheiten und Konflikten. Insbesondere seit Inkrafttreten der DSGVO und des novellierten BDSG sind die Anforderungen an die Verarbeitung und Weitergabe von Arbeitnehmerdaten strenger geworden. Dieser Artikel beleuchtet die rechtlichen Rahmenbedingungen und zeigt auf, wo die Grenzen der Datenweitergabe durch den Arbeitgeber liegen, um sowohl den Datenschutz am Arbeitsplatz zu gewährleisten als auch Arbeitnehmerdaten zu schützen.
Rechtsgrundlagen: DSGVO, BDSG und Arbeitsrecht
Die Datenverarbeitung und Weitergabe personenbezogener Daten von Arbeitnehmern in Deutschland unterliegt primär zwei zentralen Gesetzen: der Datenschutz-Grundverordnung (DSGVO) auf europäischer Ebene und dem Bundesdatenschutzgesetz (BDSG) auf nationaler Ebene. Diese Gesetze bilden die wichtigsten Rechtsgrundlagen für den Beschäftigtendatenschutz. Das BDSG enthält in § 26 spezielle Regelungen für die Datenverarbeitung im Beschäftigungsverhältnis, die die Vorgaben der DSGVO konkretisieren. Daneben spielen auch spezifische Vorschriften aus dem Arbeitsrecht eine Rolle, etwa im Hinblick auf Betriebsvereinbarungen oder das Weisungsrecht des Arbeitgebers. Grundsätzlich gilt, dass die Verarbeitung von Arbeitnehmerdaten verboten ist, es sei denn, sie ist durch ein Gesetz oder eine Einwilligung des Arbeitnehmers erlaubt. Die Weitergabe solcher Daten stellt ebenfalls eine Form der Verarbeitung dar und muss somit auf einer der genannten Rechtsgrundlagen basieren. Die Gerichte betonen immer wieder die hohe Schutzwürdigkeit von Beschäftigtendaten.
Quelle: LAG Baden-Württemberg, Urteil vom 27.01.2023 – 12 Sa 56/21, das bestätigt, dass die Weitergabe personenbezogener Beschäftigtendaten stets an den Vorgaben des BDSG und der DSGVO zu messen ist, auch in spezifischen Unternehmenskontexten.
Welche Daten sind betroffen?
Unter den Begriff der personenbezogenen Daten im Sinne der DSGVO fallen alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person – in diesem Fall den Arbeitnehmer – beziehen. Das Spektrum der Arbeitnehmerdaten, deren Weitergabe reglementiert ist, ist breit. Es umfasst grundlegende Informationen wie Name, Adresse, Geburtsdatum, Personalnummer, Kontaktdaten und Bankverbindung. Ebenso gehören Informationen zur beruflichen Qualifikation, zum Werdegang, zur Position im Unternehmen, zur Arbeitszeit, zu Fehlzeiten oder zu Leistungsbeurteilungen dazu. Besonders schützenswert sind sogenannte sensitive Daten oder spezielle Datenkategorien, wie Informationen zur ethnischen Herkunft, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten oder biometrische Daten. Die Verarbeitung und Weitergabe solcher Beschäftigtendaten unterliegt noch strengeren Voraussetzungen.
Wann ist die Weitergabe von Arbeitnehmerdaten erlaubt?
Die Verarbeitung und damit auch die Weitergabe von personenbezogenen Daten von Arbeitnehmern ist grundsätzlich untersagt, es sei denn, es liegt eine gesetzliche Grundlage vor, die dies erlaubt. Die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) sehen hierfür verschiedene Möglichkeiten vor. Eine der häufigsten Grundlagen ist die Einwilligung des betroffenen Arbeitnehmers. Diese muss freiwillig, informiert und unmissverständlich für einen bestimmten Zweck erfolgen. Im Arbeitsverhältnis ist jedoch Vorsicht geboten, da die Freiwilligkeit aufgrund des Abhängigkeitsverhältnisses oft schwierig nachzuweisen ist. Eine weitere wichtige Grundlage ist die Erfüllung des Arbeitsvertrags. Daten dürfen weitergegeben werden, wenn dies unbedingt erforderlich ist, um die im Arbeitsvertrag vereinbarten Leistungen zu erbringen (z. B. Weitergabe von Kontodaten an die Bank für die Gehaltszahlung). Auch gesetzliche Pflichten legitimieren die Datenweitergabe, beispielsweise die Übermittlung relevanter Sozialversicherungsdaten an die Krankenkasse oder Lohnsteuerdaten an das Finanzamt. Schließlich kann ein berechtigtes Interesse des Arbeitgebers oder eines Dritten die Weitergabe rechtfertigen, sofern die Interessen oder Grundrechte des Arbeitnehmers nicht überwiegen. Dies erfordert eine sorgfältige Abwägung im Einzelfall. Eine Weitergabe ohne eine dieser Rechtsgrundlagen ist unzulässig.
Datenweitergabe in der Praxis: Beispiele und Abgrenzung
Im Arbeitsalltag ergeben sich vielfältige Situationen, in denen Arbeitnehmerdaten weitergegeben werden. Nicht immer ist dies datenschutzkonform. Ein häufiges Beispiel ist die Weitergabe an Konzernunternehmen. Innerhalb eines Konzerns gelten die gleichen strengen Regeln: Auch hier ist eine Weitergabe nur auf Basis einer Rechtsgrundlage (z. B. berechtigtes Interesse für interne Verwaltungszwecke, wenn eine klare Konzernrichtlinie existiert und die Mitarbeiter informiert sind) erlaubt. Ein pauschaler Austausch aller Daten ist unzulässig. Beim Betriebsübergang (§ 613a BGB) dürfen bestimmte Daten an den neuen Arbeitgeber übermittelt werden, um die Fortführung des Arbeitsverhältnisses zu ermöglichen. Umfang und Art der Daten sind hier gesetzlich geregelt. Die Weitergabe an Dritte, wie etwa Dienstleister (z. B. externe Lohnbuchhaltung, IT-Dienstleister), ist als sogenannte Auftragsverarbeitung (§ 28 DSGVO) möglich, bedarf aber eines schriftlichen Vertrags, der die datenschutzrechtlichen Pflichten festlegt. Kritisch wird es bei der Weitergabe an Auskunfteien (z. B. Schufa) zur Bonitätsprüfung. Hier ist eine Übermittlung von Arbeitnehmerdaten ohne ausdrückliche, informierte Einwilligung und einen konkreten, zulässigen Anlass (z. B. Pfändung) in der Regel unzulässig und kann schwerwiegende Folgen haben. Ebenso die Weitergabe von Leistungs- oder Verhaltensdaten an Dritte außerhalb der gesetzlichen oder vertraglichen Notwendigkeiten.
Aktuelle Urteile: Das BAG zieht Grenzen
Die Gerichte konkretisieren fortlaufend die Grenzen der Datenweitergabe am Arbeitsplatz. Besondere Aufmerksamkeit hat das Bundesarbeitsgericht (BAG) mit seinem Urteil vom 8. Mai 2025 (Az. 8 AZR 209/21) erregt. Dieses Urteil, das sich auf Vorlagefragen an den EuGH bezieht, hat die Datenschutzrechte von Arbeitnehmern im Kontext der Weitergabe personenbezogener Daten gestärkt. Es unterstreicht, dass auch die Weitergabe von Daten innerhalb eines Unternehmens oder Konzerns, die über das Notwendige hinausgeht, eine unzulässige Verarbeitung darstellen kann. Das BAG stellte klar, dass eine Weitergabe nur erfolgen darf, wenn eine klare Rechtsgrundlage nach DSGVO und BDSG vorliegt. Die bloße organisationsinterne Weitergabe rechtfertigt sich nicht von selbst.
Das Urteil deutet auch darauf hin, dass eine unrechtmäßige Datenweitergabe zu Schadensersatzansprüchen des betroffenen Arbeitnehmers nach Art. 82 DSGVO führen kann. Dies wird auch in Fachpublikationen diskutiert, wie etwa im Bericht “Wenn der Arbeitgeber zu viele Daten weitergibt” auf zm-online.de, der über das BAG-Urteil 8 AZR 209/21 berichtet. Auch im “Der Datenschutz Talk” auf migosens.de wird das Urteil im Zusammenhang mit potenziellen Schadenersatzansprüchen im Arbeitsverhältnis erwähnt. Eine weitere Quelle auf datenschutz-notizen.de verweist ebenfalls auf das BAG-Urteil vom 08.05.2025, Az. 8 AZR 209/21, im Kontext einer EuGH-Entscheidung. Diese aktuelle Rechtsprechung zeigt, dass Arbeitgeber sehr genau prüfen müssen, wann und an wen sie welche Arbeitnehmerdaten weitergeben. Das Urteil vom 27.01.2023 des LAG Baden-Württemberg (Az. 12 Sa 56/21), wie auf openjur.de dokumentiert, bestätigt zudem die Notwendigkeit, die Weitergabe von Beschäftigtendaten stets an den Vorgaben des BDSG und der DS-GVO zu messen.
Die Rechte der Arbeitnehmer
Arbeitnehmer sind dem Arbeitgeber bei der Verarbeitung ihrer Daten nicht schutzlos ausgeliefert. Die DSGVO und das BDSG gewähren ihnen umfangreiche Rechte. Dazu gehört das Auskunftsrecht (Art. 15 DSGVO), mit dem Arbeitnehmer erfahren können, welche Daten über sie gespeichert sind, woher diese stammen und an wen sie weitergegeben wurden. Bei falschen oder unvollständigen Daten haben sie ein Recht auf Berichtigung (Art. 16 DSGVO). Ist die Verarbeitung unrechtmäßig oder nicht mehr erforderlich, besteht ein Recht auf Löschung (“Recht auf Vergessenwerden”, Art. 17 DSGVO). Arbeitnehmer können zudem unter bestimmten Voraussetzungen der Verarbeitung ihrer Daten widersprechen (Art. 21 DSGVO), insbesondere wenn die Verarbeitung auf berechtigten Interessen basiert. Wird die Verarbeitung eingeschränkt, haben sie ein Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO). Ein weiteres wichtiges Recht ist das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Wenn Arbeitnehmer den Eindruck haben, dass der Arbeitgeber gegen Datenschutzbestimmungen verstößt, können sie sich bei der zuständigen Aufsichtsbehörde beschweren (Art. 77 DSGVO) oder den Rechtsweg vor den Gerichten beschreiten.
Fazit
Der Schutz personenbezogener Daten am Arbeitsplatz ist ein komplexes Feld, das Arbeitgeber und Arbeitnehmer gleichermaßen betrifft. Die Weitergabe von Arbeitnehmerdaten durch den Arbeitgeber ist nur unter strengen gesetzlichen Voraussetzungen zulässig, die sich aus DSGVO, BDSG und dem Arbeitsrecht ergeben. Eine Einwilligung des Arbeitnehmers ist oft erforderlich, aber nicht immer die alleinige Lösung. Gesetzliche Pflichten, die Erfüllung des Arbeitsvertrags oder berechtigte Interessen können eine Weitergabe ebenfalls rechtfertigen. Aktuelle Urteile, wie die des Bundesarbeitsgerichts, konkretisieren die Grenzen der Datenweitergabe und stärken die Rechte der Arbeitnehmer. Arbeitgeber müssen daher größte Sorgfalt walten lassen und die datenschutzrechtlichen Bestimmungen genau kennen und umsetzen, um Rechtssicherheit zu gewährleisten und das notwendige Vertrauen der Belegschaft zu erhalten.