Datenschutzhinweise für Beschäftigte – Vorlage (Art. 13 DSGVO, §26 BDSG)
Mit dem Beginn jedes Arbeitsverhältnisses verarbeitet der Arbeitgeber umfangreiche personenbezogene Daten: Stammdaten, Steuer- und Sozialversicherungsdaten, Bankverbindung, Qualifikationen, Arbeitszeiten, Krankmeldungen, Beurteilungen. Art. 13 DSGVO verpflichtet ihn, die betroffenen Mitarbeiter spätestens zum Zeitpunkt der Erhebung transparent darüber zu informieren – wer verantwortlich ist, zu welchen Zwecken die Daten verarbeitet werden, auf welcher Rechtsgrundlage, wie lange sie gespeichert bleiben und welche Rechte den Beschäftigten zustehen. Diese Vorlage deckt alle Pflichtangaben strukturiert ab und wird beim Onboarding digital ausgehändigt sowie vom Mitarbeiter quittiert – damit der Nachweis im Audit oder bei Aufsichtsbehörden-Prüfungen sofort vorliegt.
Rechtsgrundlage: Art. 13 DSGVO und §26 BDSG
Art. 13 DSGVO verpflichtet jeden Verantwortlichen, betroffene Personen zum Zeitpunkt der Datenerhebung über Identität, Verarbeitungszwecke, Rechtsgrundlage, Empfänger, Speicherdauer und Betroffenenrechte zu informieren – transparent, in klarer und einfacher Sprache. Im Beschäftigungskontext ist §26 BDSG die zentrale Rechtsgrundlage: Personenbezogene Daten von Beschäftigten dürfen verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Verstöße gegen die Informationspflicht sind nach Art. 83 DSGVO mit Bußgeldern bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes belegt – die Aufsichtsbehörden sanktionieren fehlende oder unvollständige Mitarbeiter-Datenschutzhinweise konsequent.
Pflichtangaben gemäß Art. 13 DSGVO
Damit die Datenschutzhinweise vollständig und rechtssicher sind, gehören diese Felder zwingend hinein:
- Verantwortlicher: Firmenname, Anschrift, Telefon, E-Mail und ggf. Vertretungsbefugte
- Datenschutzbeauftragter (falls bestellt) mit Kontaktdaten
- Kategorien verarbeiteter Daten: Stamm-, Steuer-, Sozialversicherungs-, Qualifikations-, Arbeitszeit-, Gesundheitsdaten
- Verarbeitungszwecke je Kategorie: Begründung/Durchführung des Arbeitsverhältnisses, Lohnabrechnung, betriebliches Eingliederungsmanagement, Altersversorgung
- Rechtsgrundlage je Verarbeitung: §26 BDSG, Art. 6 Abs. 1 lit. b/c/f DSGVO, ggf. Einwilligung
- Empfänger oder Kategorien von Empfängern: Sozialversicherungsträger, Finanzamt, Berufsgenossenschaft, Versicherer, IT-Dienstleister
- Übermittlungen in Drittländer (falls relevant) und Schutzmaßnahmen
- Speicherdauer oder Kriterien zur Festlegung (Aufbewahrungsfristen nach AO, HGB, SGB)
- Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch
- Beschwerderecht bei der zuständigen Datenschutz-Aufsichtsbehörde
- Hinweis, ob die Bereitstellung der Daten gesetzlich/vertraglich erforderlich ist und welche Folgen die Nichtbereitstellung hat
§26 BDSG: Was darf verarbeitet werden – und was nicht?
§26 Abs. 1 BDSG erlaubt die Verarbeitung von Beschäftigtendaten, soweit dies für die Entscheidung über die Begründung, die Durchführung oder die Beendigung des Arbeitsverhältnisses erforderlich ist – das schließt Lohnabrechnung, Sozialversicherungsmeldungen, Arbeitszeiterfassung und Pflichtverletzungen ein. Für Verarbeitungen darüber hinaus (Mitarbeiterfotos auf der Website, Standort-Tracking von Dienstfahrzeugen, Videoüberwachung am Arbeitsplatz) reicht §26 in der Regel nicht – hier ist eine ausdrückliche, freiwillige Einwilligung (§26 Abs. 2 BDSG) oder eine Betriebsvereinbarung als Rechtsgrundlage nötig. Besondere Kategorien personenbezogener Daten (Gesundheit, Religion, Gewerkschaftszugehörigkeit) unterliegen nochmals strengeren Anforderungen (§26 Abs. 3 BDSG i. V. m. Art. 9 DSGVO).
Speicherdauer: Wann müssen Daten gelöscht werden?
Grundsätzlich werden Beschäftigtendaten für die Dauer des Arbeitsverhältnisses verarbeitet. Nach dessen Beendigung greifen gesetzliche Aufbewahrungsfristen: Lohnsteuerunterlagen und Bewegungsdaten 6–10 Jahre (AO, HGB), Sozialversicherungsunterlagen je nach Art bis zu 30 Jahre (SGB IV, BetrAVG), Abmahnungen sind bei Wegfall der Wirkung zu entfernen, Bewerbungsunterlagen abgelehnter Kandidaten nach Ablauf der AGG-Klagefrist (in der Regel 6 Monate). ProtocolHero hinterlegt zu jeder Kategorie ein Lösch- oder Prüfdatum und löst automatisch Erinnerungen aus, sobald die Aufbewahrungsfrist endet – manuelle Löschprotokolle sind GoBD- und DSGVO-konform dokumentiert.
Digital ausgehändigt – Nachweis revisionssicher dokumentiert
Aufsichtsbehörden prüfen bei Beschwerden oder Stichproben regelmäßig: Wurden die Datenschutzhinweise dem Mitarbeiter nachweislich ausgehändigt? Die klassische Variante – Papier in der Personalakte – scheitert oft an fehlenden Empfangsbestätigungen oder veralteten Versionen. ProtocolHero händigt die Datenschutzhinweise beim Onboarding digital aus, der Mitarbeiter quittiert den Erhalt per Touch-Unterschrift, die signierte Version landet mit Zeitstempel und Versionsnummer in der digitalen Personalakte. Bei Änderungen (neue Verarbeitungszwecke, neue Dienstleister) wird die neue Version automatisch an alle Mitarbeiter verteilt und erneut quittiert – Audit-Trail inklusive. So liegt der Nachweis im Behördenfall in Sekunden vor.
Häufige Fragen
Müssen Datenschutzhinweise wirklich jedem Mitarbeiter ausgehändigt werden?
Ja. Art. 13 DSGVO verpflichtet zur aktiven Information zum Zeitpunkt der Erhebung – ein Aushang am schwarzen Brett oder ein Hinweis auf die Intranet-Datenschutzerklärung reicht nicht. Der Mitarbeiter muss die Informationen nachweislich erhalten haben, idealerweise mit Empfangsbestätigung. Bei neuen Verarbeitungen oder Zweckänderungen besteht eine erneute Informationspflicht (Art. 13 Abs. 3 DSGVO).
Welche Bußgelder drohen bei Verstößen gegen die Informationspflicht?
Art. 83 Abs. 5 DSGVO sieht für Verstöße gegen die Informations- und Transparenzpflichten Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes (der jeweils höhere Wert gilt) vor. In der deutschen Aufsichtspraxis werden bei fehlenden oder unvollständigen Mitarbeiter-Datenschutzhinweisen üblicherweise vier- bis fünfstellige Beträge verhängt – mit Wiederholungsrisiko bei jedem neu eingestellten Mitarbeiter.
Ist eine Einwilligung des Mitarbeiters zur Datenverarbeitung erforderlich?
In der Regel nein – §26 BDSG und Art. 6 Abs. 1 lit. b/c DSGVO decken die meisten erforderlichen Verarbeitungen ab (Lohn, Sozialversicherung, Arbeitszeit). Eine Einwilligung ist nur nötig für Verarbeitungen, die nicht zur Durchführung des Arbeitsverhältnisses erforderlich sind: Mitarbeiterfotos, freiwillige Gesundheitsprogramme, private E-Mail-Nutzung. Wichtig: Einwilligungen müssen freiwillig sein – wegen des Über-Unterordnungsverhältnisses ist die Freiwilligkeit im Beschäftigungskontext kritisch zu prüfen (§26 Abs. 2 BDSG).
Wie oft müssen die Datenschutzhinweise aktualisiert werden?
Sobald sich wesentliche Verarbeitungen ändern: neue Software-Dienstleister, neue Tracking-Tools, geänderte Zwecke, neue Empfänger-Kategorien. Eine jährliche Review-Routine ist Best Practice – auch wenn keine Änderungen vorliegen, dokumentiert sie die fortlaufende Compliance-Arbeit. Bei wesentlichen Änderungen muss die neue Version erneut nachweislich ausgehändigt werden.
Was passiert mit den Daten nach Ende des Arbeitsverhältnisses?
Daten, die für Aufbewahrungspflichten benötigt werden (Lohnsteuer 10 Jahre, Sozialversicherung bis 30 Jahre), bleiben gespeichert – aber zweckgebunden und mit eingeschränktem Zugriff. Alle anderen Daten müssen unverzüglich gelöscht werden. Bewerbungsunterlagen abgelehnter Kandidaten werden nach Ablauf der AGG-Frist (i. d. R. 6 Monate) gelöscht, sofern keine Einwilligung zur weiteren Speicherung vorliegt.
Müssen die Datenschutzhinweise mit dem Betriebsrat abgestimmt werden?
Reine Informationspflichten nach Art. 13 DSGVO unterliegen keinem Mitbestimmungsrecht des Betriebsrats. Sobald jedoch konkrete Verarbeitungen oder technische Systeme (Zeiterfassung, Videoüberwachung, Performance-Tools) eingeführt werden, greift §87 Abs. 1 Nr. 6 BetrVG – dann ist eine Betriebsvereinbarung erforderlich. Diese Betriebsvereinbarung kann gleichzeitig als Rechtsgrundlage nach §26 Abs. 4 BDSG dienen.
Was ProtocolHero zusätzlich für dich übernimmt
Eine Vorlage allein ist erst der Anfang – ProtocolHero macht aus jedem Protokoll einen durchgängigen digitalen Workflow mit KI-Unterstützung, Workflow-Freigaben und revisionssicherem Archiv.
HERO Assistant – KI-Chat für Dokumentenerstellung
Der HERO Assistant ist der eingebaute KI-Chat von ProtocolHero. Du kannst per Spracheingabe ein komplettes Protokoll anlegen lassen ("Erstelle mir einen neuen Protokoll für Kunde Müller, Baustelle Elbstraße"), oder ein bestehendes PDF / Foto / Word-Dokument hochladen – die KI liest die Struktur aus und baut eine wiederverwendbare Vorlage daraus.
Auto-Fill aus Sprache, Foto und Datei
Beim Ausfüllen kannst du das Protokoll per Sprachsteuerung diktieren – die KI ordnet die Inhalte automatisch den richtigen Feldern zu. Oder du lädst Fotos, Scans, Verträge, Datenblätter oder Ausweise hoch (z. B. Arbeitsvertrag + Personalausweis beim Personalfragebogen, Typenschild beim Wartungsprotokoll, Lieferschein beim Bautagesbericht): Der HERO Assistant extrahiert die Daten und befüllt das Formular vor – du prüfst und unterschreibst.
Foto- und Video-Upload direkt im Dokument
Zu jedem Bauteil, Messpunkt oder Schadensbild kannst du Fotos und Videos direkt aus der App anhängen. Videos sind besonders nützlich, wenn ein Schadensbild dynamisch ist (laufendes Wasser, tropfende Leitung, ungewöhnliche Geräusche an einer Anlage) – ein einzelnes Standbild würde den Befund nicht ausreichend dokumentieren.
Kommentare als Aufgaben – intern und mit dem Kunden
Jede Position im Protokoll kann kommentiert und als Aufgabe an einen Kollegen, an dich selbst oder direkt an den Kunden zugewiesen werden ("bitte fehlendes Datenblatt nachreichen", "Mangel bis 15.06. beheben"). Kommentare können wahlweise rein intern bleiben oder im freigegebenen Kundenlink mitgeteilt werden.
Workflow: Bearbeiter zuweisen, Prüfer freigeben
Dokumente lassen sich an Kollegen weiterleiten ("zur Vervollständigung an den Monteur", "zur Endkontrolle an den Meister") und können einen festen Prüfer haben, der die letzte fachliche Freigabe erteilt, bevor das Protokoll unterschrieben oder an den Kunden geht.
Activity-Log für lückenlose Nachvollziehbarkeit
Jedes Protokoll hat einen vollständigen Aktivitäts-Verlauf: Wer hat wann was geändert, kommentiert, hochgeladen, freigegeben, unterschrieben. Das Log ist auf Wunsch auch im Kunden-Freigabelink sichtbar – ideal für Auditoren, Versicherer und Kunden, die die Entstehung des Dokuments nachvollziehen wollen.
Eindeutige Protocol-ID je Dokument
Jedes Protokoll bekommt automatisch eine eindeutige Protocol-ID, mit der es sich zweifelsfrei referenzieren, verlinken und im Audit-Trail wiederfinden lässt.
Automatische Berichts-Nummerierung
In KürzeFortlaufende, lückenlose Berichts-Nummern (z. B. Protokoll-2026-001, 002, 003 …) je Dokumenttyp und Kunde – ohne manuelles Vergeben, ohne Dubletten.
Web-Formular & Inbox
In KürzeVorlagen lassen sich als öffentliches Web-Formular auf der eigenen Website einbinden – ein ausgefülltes Protokoll (z. B. Anfrage, Schadensmeldung, Auftragsbestätigung) landet automatisch in deiner ProtocolHero-Inbox zur Weiterbearbeitung.
QR-Code-Etiketten für Anlagen und Bauteile
In KürzeQR-Code-Etiketten pro Anlage / Bauteil / Abschottung, die beim Scannen direkt das hinterlegte Protokoll, die Historie und alle Wartungs- bzw. Prüfdokumente öffnen.
