Gilt § 26 BDSG noch?

Formal ja, in der Anwendung nein. Der BAG hat im Workday-Urteil vom 8. Mai 2025 (8 AZR 209/21) entschieden, dass § 26 Abs. 1 BDSG den Anforderungen aus Art. 88 Abs. 1 und 2 DSGVO nicht genügt. Diese Linie hatte der EuGH in C-34/21 und C-65/23 vorgezeichnet. Gerichte wenden die Norm als eigenständige Rechtsgrundlage nicht mehr an. Die Verarbeitung muss direkt auf Art. 6 Abs. 1 DSGVO gestützt werden.

Welche DSGVO-Rechtsgrundlage tritt für die laufende HR-Datenverarbeitung an die Stelle von § 26 Abs. 1 BDSG?

Für vertragsnotwendige Daten (Gehaltsabrechnung, Stammdaten, Zeiterfassung, Urlaub) trägt Art. 6 Abs. 1 lit. b DSGVO. Für gesetzlich pflichtige Verarbeitungen (Lohnsteuer, Sozialversicherungsmeldung, Arbeitsschutz) Art. 6 Abs. 1 lit. c DSGVO. Für HR-Analytics, Performance Reviews, IT-Logs oder Onboarding-Tool-Auswertungen Art. 6 Abs. 1 lit. f DSGVO mit dokumentierter Interessenabwägung. Besondere Kategorien (Gesundheit, Gewerkschaftszugehörigkeit) brauchen zusätzlich Art. 9 Abs. 2 lit. b DSGVO.

Beerdigt das Urteil die Betriebsvereinbarung als Rechtsgrundlage?

Nein, aber es beerdigt die Annahme, die BV sei ein DSGVO-Freibrief. Der EuGH hat in C-65/23 ausdrücklich klargestellt, dass eine BV nach § 26 Abs. 4 BDSG vollständig an Art. 5, 6 und 9 DSGVO gemessen wird. Im Workday-Fall erlaubte die BV nur Stammdaten; die tatsächliche Übermittlung an die US-Konzernmutter umfasste Gehalt, Sozialversicherungsnummer und Privatadresse. Die BV trug die Verarbeitung also nicht, und die Rechtsgrundlage fiel. Eine BV bleibt als materielle Kontrollebene sinnvoll; sie ist nicht mehr die Berufung, die die Verarbeitung rechtfertigt.

Was ist das BeschDG und wann kommt es?

Das Beschäftigtendatengesetz ist die geplante deutsche Umsetzung von Art. 88 DSGVO. Der gemeinsame Referentenentwurf von BMAS und BMI vom 8. Oktober 2024 (BeschDG-E) ist mit dem Bruch der vorherigen Koalition im November 2024 gescheitert. Die aktuelle Bundesregierung hat das Vorhaben im Sofortprogramm 2026; ein neuer Entwurf wird im ersten Halbjahr 2026 erwartet, ein Inkrafttreten realistisch frühestens Ende 2026 oder 2027. Bis dahin gibt es kein Art. 88-konformes deutsches Gesetz, und die DSGVO greift unmittelbar.

Muss ich jetzt jeden Mitarbeiter-Datenschutzhinweis neu schreiben?

Ja, aber überwiegend mechanisch. Wenn der Art. 13 DSGVO-Hinweis § 26 BDSG als Rechtsgrundlage nennt, ist er nach dem Workday-Urteil unzutreffend. Ersetze die Norm pro Verarbeitungstätigkeit durch die jeweils passende Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO. Für sensitive HR-Systeme (Personio, HiBob, Workday, BambooHR) gehört zusätzlich die DSFA und das Verzeichnis von Verarbeitungstätigkeiten überarbeitet.

Compliance

BAG-Workday-Urteil: HR-Daten ohne § 26 BDSG verarbeiten

Nach BAG 8 AZR 209/21 vom 8.05.2025 ist § 26 Abs. 1 BDSG als Art. 88 DSGVO-Grundlage nicht mehr anwendbar. Startups stützen HR-Daten direkt auf Art. 6 Abs. 1 DSGVO.

Immo Ait Stapelfeld·Rechtsanwalt·13. Mai 2026·7 Min. Lesezeit

Zusammenfassung

Das Bundesarbeitsgericht hat am 8. Mai 2025 (8 AZR 209/21, Workday) entschieden, dass § 26 Abs. 1 BDSG keine taugliche Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO ist, weil er den Anforderungen aus Art. 88 Abs. 1 und 2 DSGVO nicht genügt (Linie EuGH C-34/21 vom 30.03.2023, C-65/23 vom 19.12.2024). Für Startups bedeutet das: Jede HR-Datenverarbeitung muss direkt auf Art. 6 Abs. 1 lit. b, c oder f DSGVO gestützt, der Datenschutzhinweis nach Art. 13 DSGVO und das Verzeichnis von Verarbeitungstätigkeiten angepasst und eine bestehende Betriebsvereinbarung als materielle Kontrollebene, nicht als Rechtsgrundlagen-Abkürzung, behandelt werden. Ein neues Beschäftigtendatengesetz (BeschDG) steht auf der Agenda; ein neuer Entwurf wird in H1 2026 erwartet, ein Inkrafttreten realistisch frühestens Ende 2026 oder 2027.

Das Bundesarbeitsgericht hat am 8. Mai 2025 (Aktenzeichen 8 AZR 209/21, "Workday") entschieden: § 26 Abs. 1 BDSG ist keine taugliche Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten nach Art. 6 Abs. 3 DSGVO. Die Norm steht weiterhin im Gesetz. Gerichte wenden sie als eigenständige Grundlage nicht mehr an. Jedes Startup, dessen Datenschutzhinweis HR-Daten auf "§ 26 BDSG" stützt, beruft sich auf eine Grundlage, die der BAG als unanwendbar eingestuft hat.

Die Korrektur ist mechanisch, nicht strategisch. Stütze dieselben Verarbeitungen direkt auf Art. 6 Abs. 1 lit. b, c oder f DSGVO, aktualisiere die Informationen nach Art. 13 DSGVO, dokumentiere die Bewertung. Das Beschäftigtendatengesetz (BeschDG), das diese Lücke in deutschem Recht schließen würde, lag im BMAS/BMI-Referentenentwurf vom 8. Oktober 2024 vor und ist mit der Koalition zerbrochen. Ein neuer Entwurf wird in H1 2026 erwartet. Bis dahin und bis zum Inkrafttreten greift die DSGVO unmittelbar.

Was der BAG entschieden hat

Der Workday-Fall lief auf einem Sachverhalt, der Gründer:innen regelmäßig begegnet. Ein Konzern führt Workday ein. Vor dem Rollout werden Echtdaten der Beschäftigten zu Testzwecken an die US-Konzernmutter übermittelt. Die einschlägige Betriebsvereinbarung erlaubt die Übermittlung nur von Stammdaten (Name, Eintrittsdatum, Standort). Tatsächlich übermittelt wurden Gehalt, Sozialversicherungsnummer, Steuer-ID, Privatadresse, Geburtsdatum, Alter, Familienstand.

Der BAG (8. Senat, 8.05.2025, 8 AZR 209/21) hat drei Punkte entschieden:

§ 26 Abs. 1 BDSG ist unanwendbar als Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO, weil er den Anforderungen aus Art. 88 Abs. 1 und 2 DSGVO nicht genügt (Linie EuGH C-34/21 vom 30.03.2023 und C-65/23 vom 19.12.2024).
Die Betriebsvereinbarung trug die Verarbeitung nicht, weil die tatsächliche Datenübermittlung über die in der BV erlaubten Felder hinausging. Selbst dort, wo eine BV Verarbeitungen grundsätzlich tragen kann, greift Art. 5/6/9 DSGVO-Prüfung eigenständig.
Kontrollverlust über personenbezogene Daten ist ein immaterieller Schaden im Sinne von Art. 82 DSGVO. Zugesprochen wurden EUR 200.

Der Betrag von EUR 200 ist weniger interessant als der Argumentationsweg. Der BAG hat die EuGH-Linie (C-34/21 + C-65/23) bestätigt und auf einen generischen SaaS-Rollout-Sachverhalt angewendet, dem jedes Wachstumsstartup begegnet.

Warum § 26 BDSG an Art. 88 DSGVO scheitert

Die EuGH-Begründung ist knapp. Art. 88 Abs. 1 DSGVO erlaubt den Mitgliedstaaten "spezifischere" Regelungen zum Beschäftigtendatenschutz, Art. 88 Abs. 2 DSGVO verlangt aber, dass solche Regelungen konkrete Schutzmaßnahmen enthalten (Menschenwürde, berechtigte Interessen, Transparenz, Überwachung, konzerninterne Übermittlungen).

In C-34/21 (dem hessischen Lehrer-Streaming-Fall) hat der EuGH entschieden, dass eine nationale Norm, die nur die DSGVO-Grundsätze wiederholt, nicht "spezifischer" ist und Art. 88 nicht in Anspruch nehmen kann. In C-65/23 (eine BAG-Vorlage zu einem anderen Workday-artigen Konzern-Rollout) hat der EuGH die Logik auf § 26 Abs. 4 BDSG übertragen: Eine Betriebsvereinbarung nach diesem Absatz entzieht die Verarbeitung nicht der Art. 5/6/9 DSGVO-Prüfung.

Der BAG hat in 8 AZR 209/21 die Linie für § 26 Abs. 1 BDSG selbst geschlossen. Die Norm wiederholt im Kern den Erforderlichkeitstest der DSGVO plus einige Verfahrenshinweise. Eigenständige Schutzanforderungen im Sinne von Art. 88 Abs. 2 DSGVO enthält sie nicht. Daher wenden Gerichte sie nicht an.

Art. 88 DSGVO Öffnungsklausel

DSGVO-Klausel, die den Mitgliedstaaten spezifischere Beschäftigtendatenschutz-Regelungen erlaubt, sofern sie die Schutzanforderungen aus Art. 88 Abs. 2 DSGVO erfüllen. § 26 BDSG scheitert daran (BAG 8 AZR 209/21).

Was das für Startups ohne Betriebsrat heißt

Die meisten Frühphasen-Startups (5 bis 50 Mitarbeitende, kein Betriebsrat) stützen ihre HR-Datenverarbeitung implizit auf § 26 BDSG. Personio, HiBob, Workday oder BambooHR liefern ein Datenschutzhinweis-Template mit, das § 26 BDSG als Rechtsgrundlage benennt. Nach Workday ist dieses Template falsch.

Materiell ändert sich wenig. Die Verarbeitungen waren fast immer schon nach Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht) zu rechtfertigen. Was sich ändert, ist die Zitierung im Art. 13 DSGVO-Hinweis und im Verzeichnis von Verarbeitungstätigkeiten. Pro Verarbeitung gehört die passende Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO direkt benannt:

HR-Verarbeitung	Richtige DSGVO-Grundlage nach Workday
Stammdaten, Verträge, Gehaltsabrechnung	Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Lohnsteuer + SV-Meldung, ELStAM, Arbeitsschutzakten	Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht)
Zeiterfassung, Urlaub, Spesenabrechnung	Art. 6 Abs. 1 lit. b DSGVO
Performance Review, 360-Feedback, HR-Analytics	Art. 6 Abs. 1 lit. f DSGVO mit schriftlicher Interessenabwägung
IT-Monitoring, Log-Retention über Vertragserforderlichkeit hinaus	Art. 6 Abs. 1 lit. f DSGVO mit schriftlicher Interessenabwägung
Gesundheitsdaten, Gewerkschaftszugehörigkeit, religiöse Überzeugung	Art. 9 Abs. 2 lit. b DSGVO + arbeitsrechtliche Schutzmaßnahmen (Hinweis: § 26 Abs. 3 BDSG erbt das Art. 88-Problem; sensitive Verarbeitungen brauchen oft Art. 9 Abs. 2 lit. h für Betriebsarzt-Konstellationen, eine einschlägige Tarif-/Kollektivklausel oder ausdrückliche Einwilligung statt schlichter Berufung auf § 26 BDSG)

Die Interessenabwägungen sind der Teil, den Gründer:innen überspringen. Es ist der Teil, den die Aufsichtsbehörden im Beschwerdefall zuerst lesen.

Was das für Startups mit Betriebsvereinbarung heißt

Eine BV bleibt sinnvoll, ist aber nicht mehr abschließend. Der EuGH hat in C-65/23 deutlich gesagt: Die BV muss eigenständig an Art. 5/6/9 DSGVO gemessen werden. Drei Punkte zur Kontrolle:

Die BV muss Datenkategorien, Zweck, Empfänger, Speicherdauer und Drittlandübermittlungen mit der Präzision auflisten, die Art. 13 DSGVO ohnehin verlangt.
Die tatsächliche Verarbeitung muss innerhalb dessen bleiben, was die BV erlaubt. Der Workday-Fall drehte sich genau um die Lücke zwischen "Stammdaten" (BV) und "Gehalt + SV-Nummer + Adresse" (tatsächlich übermittelt).
Wenn die BV einen konzerninternen Empfänger außerhalb der EU benennt, ersetzt sie nicht den Art. 46 DSGVO-Übermittlungsmechanismus. Für US-Mütter ist seit Juli 2023 der EU-US Data Privacy Framework der praktische Weg, sofern der Empfänger zertifiziert ist; sonst gelten Standardvertragsklauseln plus Transfer Impact Assessment. Größere Konzerne nutzen Binding Corporate Rules.

Bei den Startups, die ich nach Wachstum auf 60+ Mitarbeitende bei der ersten BV begleite, ist der häufigste Fehler genau die Annahme, die BV sei eine Mauer gegen DSGVO-Prüfung. Sie ist es nicht. Sie ist eine materielle Kontrollebene, die die Aufsichtsbehörde neben den tatsächlichen Verarbeitungsprotokollen liest.

Fünf Schritte zur Umstellung nach Workday

Checkliste

HR-Daten umstellen nach BAG Workday

0/5

Was kommt — BeschDG und Zeitplan

Das Beschäftigtendatengesetz ist die politisch erwartete Lösung. Der BMAS/BMI-Referentenentwurf vom 8. Oktober 2024 ("BeschDG-E") hat eine vollständige Art. 88 DSGVO-Umsetzung mit ausdrücklichen Schutzmaßnahmen entworfen: typisierte Rechtsgrundlagen für HR-Verarbeitungen, KI-System-Regeln mit Verweis auf den AI Act, ein Beweisverwertungsverbot für rechtswidrig erlangte Daten, spezifische Transparenzpflichten.

Der Entwurf ist nicht in Kraft getreten. Die vorherige Ampel-Koalition ist im November 2024 vor dem Kabinettsbeschluss zerbrochen. Die aktuelle Bundesregierung hat das BeschDG auf ihrer Gesetzgebungsagenda. Ein überarbeiteter Entwurf wird üblicherweise für H1 2026 berichtet, ein realistisches Inkrafttreten Ende 2026 oder Anfang 2027. Bis dahin gilt die Rechtslage, die das Workday-Urteil beschreibt.

Zeitstrahl

HR-Datenschutz-Zeitplan

30.03.2023

EuGH C-34/21 (MD): Nationale HR-Regeln, die die DSGVO nur wiederholen, sind keine Art. 88-Regelungen

8.10.2024

BMAS/BMI veröffentlichen BeschDG-E-Referentenentwurf

19.12.2024

EuGH C-65/23: BVs nach § 26 Abs. 4 BDSG sind vollständig an der DSGVO zu messen

8.05.2025

BAG 8 AZR 209/21 (Workday): § 26 Abs. 1 BDSG unanwendbar, EUR 200 Schadensersatz

H1 2026

Neuer BeschDG-Entwurf erwartet

Ende 2026 / 2027

Mögliches Inkrafttreten BeschDG

Worauf es ankommt

Die rechtliche Veränderung ist real, der operative Fix ist klein, wenn du ihn jetzt machst, und groß, wenn du auf das nächste Audit wartest. Ersetze § 26 BDSG im Datenschutzhinweis und Verzeichnis durch die richtige Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO pro Verarbeitungstätigkeit, schreibe die Interessenabwägungen, die die lit. f-Grundlagen tragen, und behandle jede Betriebsvereinbarung als eine Ebene, die die Aufsichtsbehörde neben den tatsächlichen Datenflüssen liest, nicht als Mauer dagegen. Das BeschDG kommt vielleicht 2027. Das Workday-Urteil bindet die Gerichte schon jetzt.

Rechtsquellen

§§ 26 Abs. 1 BDSG — Bundesdatenschutzgesetz, Beschäftigtendatenklausel; vom BAG (8 AZR 209/21 vom 8.05.2025) als eigenständige Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO unanwendbar, weil Art. 88 Abs. 1/2 DSGVO-Anforderungen nicht erfüllt
§§ 26 Abs. 4 BDSG — Regelung zu Kollektivvereinbarungen als Rechtsgrundlage; gilt weiter, aber die BV muss unabhängig an Art. 5, 6 und 9 DSGVO gemessen werden (EuGH C-65/23)
§Art. 88 Abs. 1 DSGVO — Öffnungsklausel für spezifischere nationale Beschäftigtendatenschutz-Regelungen; § 26 BDSG erfüllt sie nicht
§Art. 88 Abs. 2 DSGVO — Inhaltliche Schutzanforderungen, die spezifischere nationale Art. 88-Regelungen enthalten müssen (Menschenwürde, Transparenz, Kontroll- und Übermittlungsregeln)
§Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung — Standardgrundlage für vertragsnotwendige HR-Daten (Gehaltsabrechnung, Zeiterfassung, Stammdaten) nach Workday
§Art. 6 Abs. 1 lit. c DSGVO — Gesetzliche Pflicht — Lohnsteuer, Sozialversicherungsmeldungen, Arbeitsschutz
§Art. 6 Abs. 1 lit. f DSGVO — Berechtigte Interessen — HR-Analytics, Performance Review, IT-Monitoring; setzt dokumentierte Interessenabwägung voraus
§Art. 9 Abs. 2 lit. b DSGVO — Besondere Kategorien im Arbeitsverhältnis (Gesundheitsdaten, Gewerkschaftszugehörigkeit); braucht Schutzmaßnahmen und Rechtsgrundlage im Arbeitsrecht
§Art. 13 DSGVO — Informationspflichten bei Erhebung; muss nach Workday die richtige Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO nennen
§Art. 82 DSGVO — Schadensersatz für immateriellen Schaden; Kontrollverlust über personenbezogene Daten ist anerkannter Schaden
•BAG, 8.05.2025 - 8 AZR 209/21 (Workday), 2025-05-08 — § 26 Abs. 1 BDSG genügt nicht den Anforderungen aus Art. 88 Abs. 1/2 DSGVO und scheidet als Rechtsgrundlage nach Art. 6 Abs. 3 DSGVO aus. Kontrollverlust über personenbezogene Daten ist immaterieller Schaden im Sinne von Art. 82 DSGVO. EUR 200 Schadensersatz zugesprochen für die Übermittlung von Echtdaten (u.a. Gehalt, Sozialversicherungsnummer, Privatadresse) an die US-Konzernmutter zu Workday-Testzwecken, obwohl die BV nur Stammdaten erlaubte.
•EuGH, 30.03.2023 - C-34/21 (MD ./. Land Hessen), 2023-03-30 — Nationale Regelungen, die DSGVO-Grundsätze nur wiederholen, sind keine 'spezifischeren Vorschriften' im Sinne von Art. 88 Abs. 1 DSGVO. Das Urteil hat direkt § 23 Abs. 1 HDSIG für unanwendbar erklärt; die Literatur las daraus weitgehend, dass auch § 26 Abs. 1 BDSG als Art. 88-Grundlage scheitert. Der BAG hat diese Konsequenz in 8 AZR 209/21 ausdrücklich gezogen.
•EuGH, 19.12.2024 - C-65/23 (K GmbH, Workday-Vorlage des BAG), 2024-12-19 — Kollektivvereinbarungen nach § 26 Abs. 4 BDSG werden in vollem Umfang an Art. 5, 6 und 9 DSGVO gemessen. Eine BV entzieht die Verarbeitung nicht der DSGVO-Kontrolle.
•BMAS / BMI, Referentenentwurf eines Gesetzes zur Stärkung eines fairen Umgangs mit Beschäftigtendaten (BeschDG-E), 8.10.2024 — Gemeinsamer Entwurf zur deutschen Umsetzung von Art. 88 DSGVO; sollte § 26 BDSG ablösen. Vor dem Kabinettsbeschluss mit dem Bruch der Ampel-Koalition im November 2024 gescheitert. Die aktuelle Bundesregierung hat das Vorhaben auf ihrer Gesetzgebungsagenda; ein neuer Entwurf wird üblicherweise für H1 2026 berichtet.
•LfDI Baden-Württemberg, FAQ zu Rechtsgrundlagen bei Beschäftigtendaten (EuGH C-34/21), 2023 — Erste ausführliche Aufsichtsbehörden-FAQ zum C-34/21-Fallout. Bestätigt: Art. 6 Abs. 1 DSGVO gilt direkt für HR-Datenverarbeitungen, solange keine Art. 88-konforme nationale Regelung existiert.

Häufige Fragen

Gilt § 26 BDSG noch?: Formal ja, in der Anwendung nein. Der BAG hat im Workday-Urteil vom 8. Mai 2025 (8 AZR 209/21) entschieden, dass § 26 Abs. 1 BDSG den Anforderungen aus Art. 88 Abs. 1 und 2 DSGVO nicht genügt. Diese Linie hatte der EuGH in C-34/21 und C-65/23 vorgezeichnet. Gerichte wenden die Norm als eigenständige Rechtsgrundlage nicht mehr an. Die Verarbeitung muss direkt auf Art. 6 Abs. 1 DSGVO gestützt werden.
Welche DSGVO-Rechtsgrundlage tritt für die laufende HR-Datenverarbeitung an die Stelle von § 26 Abs. 1 BDSG?: Für vertragsnotwendige Daten (Gehaltsabrechnung, Stammdaten, Zeiterfassung, Urlaub) trägt Art. 6 Abs. 1 lit. b DSGVO. Für gesetzlich pflichtige Verarbeitungen (Lohnsteuer, Sozialversicherungsmeldung, Arbeitsschutz) Art. 6 Abs. 1 lit. c DSGVO. Für HR-Analytics, Performance Reviews, IT-Logs oder Onboarding-Tool-Auswertungen Art. 6 Abs. 1 lit. f DSGVO mit dokumentierter Interessenabwägung. Besondere Kategorien (Gesundheit, Gewerkschaftszugehörigkeit) brauchen zusätzlich Art. 9 Abs. 2 lit. b DSGVO.
Beerdigt das Urteil die Betriebsvereinbarung als Rechtsgrundlage?: Nein, aber es beerdigt die Annahme, die BV sei ein DSGVO-Freibrief. Der EuGH hat in C-65/23 ausdrücklich klargestellt, dass eine BV nach § 26 Abs. 4 BDSG vollständig an Art. 5, 6 und 9 DSGVO gemessen wird. Im Workday-Fall erlaubte die BV nur Stammdaten; die tatsächliche Übermittlung an die US-Konzernmutter umfasste Gehalt, Sozialversicherungsnummer und Privatadresse. Die BV trug die Verarbeitung also nicht, und die Rechtsgrundlage fiel. Eine BV bleibt als materielle Kontrollebene sinnvoll; sie ist nicht mehr die Berufung, die die Verarbeitung rechtfertigt.
Was ist das BeschDG und wann kommt es?: Das Beschäftigtendatengesetz ist die geplante deutsche Umsetzung von Art. 88 DSGVO. Der gemeinsame Referentenentwurf von BMAS und BMI vom 8. Oktober 2024 (BeschDG-E) ist mit dem Bruch der vorherigen Koalition im November 2024 gescheitert. Die aktuelle Bundesregierung hat das Vorhaben im Sofortprogramm 2026; ein neuer Entwurf wird im ersten Halbjahr 2026 erwartet, ein Inkrafttreten realistisch frühestens Ende 2026 oder 2027. Bis dahin gibt es kein Art. 88-konformes deutsches Gesetz, und die DSGVO greift unmittelbar.
Muss ich jetzt jeden Mitarbeiter-Datenschutzhinweis neu schreiben?: Ja, aber überwiegend mechanisch. Wenn der Art. 13 DSGVO-Hinweis § 26 BDSG als Rechtsgrundlage nennt, ist er nach dem Workday-Urteil unzutreffend. Ersetze die Norm pro Verarbeitungstätigkeit durch die jeweils passende Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO. Für sensitive HR-Systeme (Personio, HiBob, Workday, BambooHR) gehört zusätzlich die DSFA und das Verzeichnis von Verarbeitungstätigkeiten überarbeitet.

Siehe auch

Weiterlesen

HR-Datenverarbeitung nach Workday neu aufsetzen?

Ich helfe Startups, Art. 13 DSGVO-Hinweise, DSFA und Verzeichnis sauber umzustellen, ohne alles von vorne zu schreiben. Kostenloses 15-Minuten-Gespräch.

Gespräch buchen