Beschäftigtendatenschutz an Hochschulen

Beschäftigtendatenschutz an einer öffentlichen Hochschule unterscheidet sich strukturell vom Beschäftigtendatenschutz in der Privatwirtschaft und vom Beschäftigtendatenschutz auf Bundesebene. Drei Besonderheiten prägen das Bild:

1. Mehrere Beschäftigtengruppen mit unterschiedlichem Status Eine Hochschule beschäftigt typischerweise Beamtinnen und Beamte, Tarifbeschäftigte des öffentlichen Dienstes, wissenschaftliche und studentische Hilfskräfte sowie Lehrbeauftragte. Die Rechtsgrundlagen für die Verarbeitung ihrer Daten unterscheiden sich: Beamtenverhältnisse folgen dem Beamtenstatusgesetz (BeamtStG) und dem Landesbeamtengesetz (LBG LSA), Tarifverhältnisse dem TV-L sowie dem BGB; bei Lehrbeauftragten kommen hochschulrechtliche Sonderkonstellationen hinzu (§§ 38 ff. HSG LSA).
2. BDSG ist nicht anwendbar Das BDSG ist auf Landesbedienstete an Landeshochschulen keine unmittelbare Rechtsgrundlage; eine vergleichende Heranziehung als Auslegungs­maßstab ist allenfalls mit erheblicher methodischer Zurückhaltung möglich, weil die Rechtskreise Bund und Land im Datenschutzrecht strikt zu trennen sind und das BDSG eigene unionsrechtliche Öffnungsklauseln nutzt. § 26 BDSG mit seiner umfassenden Beschäftigtendatenschutz-Generalklausel ist daher in Sachsen-Anhalt kein tragfähiger unmittelbarer Maßstab; eine vergleichende Heranziehung kann allenfalls als vorsichtige Vergleichsfolie herangezogen werden, etwa zur Orientierung an einer bundesweit etablierten Auslegungslinie zu Art. 88 DSGVO – nicht aber als Subsumtionsgrundlage.
3. Keine Beschäftigtendatenschutz-Generalklausel im Landesrecht Sachsen-Anhalt hat – im Gegensatz zu einigen anderen Bundesländern und zum Bund – die Öffnungsklausel des Art. 88 DSGVO nicht durch eine eigene Generalklausel ausgefüllt. § 26 DSAG LSA regelt nur drei eng zugeschnittene Sondertatbestände. Für sonstige Beschäftigtenverarbeitungen folgt die Rechtsgrundlage daher unmittelbar aus Art. 6 Abs. 1 DSGVO – meist lit. b oder lit. e – in Verbindung mit der einschlägigen beamten- oder tarifrechtlichen Norm bzw. der hochschulrechtlichen Aufgabennorm.

Hinzu kommt die strukturelle Mitbestimmung des Personalrats nach dem PersVG LSA, die bei jeder Einführung oder wesentlichen Erweiterung einer technischen Einrichtung mit Überwachungseignung greift (§ 69 Nr. 2 PersVG LSA). Diese Mitbestimmung ist ein eigenständiges Pflichtenregime neben dem Datenschutzrecht und wird in der Praxis häufig erst zu spät einbezogen.

Der Beschäftigtendatenschutz an einer öffentlichen Hochschule wird durch ein Geflecht mehrerer Normebenen geprägt. Die DSGVO ist unmittelbar geltendes Unionsrecht; nationales Recht kann sie weder verdrängen noch ersetzen, sondern nur dort konkretisieren, wo die DSGVO eine Öffnungsklausel vorsieht – Art. 88 DSGVO ist die zentrale Öffnungsklausel für Beschäftigtenverarbeitungen.

1. DSGVO als unionsrechtlicher Rahmen Art. 5 (Grundsätze), Art. 6 (Rechtsgrundlagen), Art. 9 (besondere Kategorien), Art. 13 und 14 (Informationspflichten) sowie Art. 88 (Öffnungsklausel für den Beschäftigtenkontext) gelten unmittelbar. Die Rechtsgrundlage jeder Beschäftigtenverarbeitung muss am Unionsrecht gemessen werden. Art. 5, 6, 9, 13, 14, 88 DSGVO
2. HSG LSA als hochschulspezifische Aufgabennorm § 3 HSG LSA bestimmt die Aufgaben der Hochschule und liefert damit den Aufgabenbezug für Art. 6 Abs. 1 lit. e DSGVO. § 119 HSG LSA enthält die hochschulspezifische Datenverarbeitungsnorm und greift im Schwerpunkt für Verarbeitungen im akademischen Statusbereich (Studierende, Lehre, Forschung, Mitgliederschaft als solche). § 119 HSG LSA ist keine generelle Beschäftigtendatenschutz-Norm; für Beschäftigtenverarbeitungen sind in erster Linie die beamten- und tarifrechtlichen Spezialnormen sowie die drei Sondertatbestände des § 26 DSAG LSA einschlägig. § 119 HSG LSA kann nur dort ergänzend tragen, wo eine Verarbeitung den hochschulspezifischen Mitgliederbezug einer beschäftigten Person betrifft (etwa Lehre­zuweisung, Forschungszugang, Gremientätigkeit) – nicht für die klassischen HR-Prozesse wie Personal­akte, Vergütung, Krankheitsdaten oder Tracking. §§ 3, 119 HSG LSA i. V. m. Art. 6 Abs. 1 lit. e DSGVO
3. DSAG LSA als landesrechtliche Generalklausel und Sondertatbestände § 4 DSAG LSA fungiert als allgemeine Rechtsgrundlage für Verarbeitungen durch öffentliche Stellen Sachsen-Anhalts und greift subsidiär, wenn keine Spezialnorm einschlägig ist. § 26 DSAG LSA regelt drei eng zugeschnittene Sondertatbestände im Beschäftigungskontext (siehe Abschnitt 04). §§ 4, 26 DSAG LSA
4. Beamten- und tarifrechtliche Spezialnormen § 50 BeamtStG und §§ 84 ff. LBG LSA regeln die Personalaktenführung der Beamtinnen und Beamten; § 26 Abs. 1 DSAG LSA erstreckt diese Vorschriften auf Tarifbeschäftigte. Der TV-L enthält tarifrechtliche Verarbeitungspflichten; spezialgesetzliche Vorgaben (z. B. EntgTranspG, Mutterschutz) treten hinzu. § 50 BeamtStG; §§ 84 ff. LBG LSA; § 26 Abs. 1 DSAG LSA; TV-L
5. PersVG LSA als Mitbestimmungsregime § 69 Nr. 1 und Nr. 2 PersVG LSA begründen die Mitbestimmung des Personalrats bei der Einführung, Anwendung, wesentlichen Änderung oder Erweiterung technischer Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Die Mitbestimmung ist ein eigenständiges Pflichtenregime, das parallel zum Datenschutzrecht läuft. Bei privatrechtlich organisierten Tochtergesellschaften der Hochschule (etwa Universitätskliniken oder Forschungs-GmbHs) tritt das BetrVG an die Stelle des PersVG LSA. § 69 Nr. 1 und Nr. 2 PersVG LSA; § 87 Abs. 1 Nr. 6 BetrVG

Art. 6 Abs. 1 lit. f DSGVO – kein Tragwerk für die Aufgabenwahrnehmung: Art. 6 Abs. 1 UAbs. 2 DSGVO bestimmt, dass die Rechtsgrundlage des berechtigten Interesses für die Verarbeitung durch Behörden in Erfüllung ihrer Aufgaben nicht gilt. Staatliche Hochschulen sind als öffentliche Stellen bei der Wahrnehmung ihrer Aufgaben Behörden im Sinne der Norm; in diesem Funktionsbereich – also für die ganz überwiegende Bandbreite der Beschäftigten­verarbeitung – kommt lit. f als Rechts­grundlage nicht in Betracht. Eine Diskussion über lit. f kann allenfalls außerhalb der Aufgaben­wahrnehmung relevant werden (etwa fiskalisches Handeln im engeren Sinne ohne hoheitliche Aufgabe); für die HR-Praxis ist sie regelmäßig ohne praktische Tragweite.

Die zentrale Frage in jeder konkreten Konstellation lautet: Auf welche Rechtsgrundlage stützt sich die Verarbeitung? Die nachfolgende Tabelle zeigt die in der Hochschulpraxis relevanten Konstellationen.

§ 26 DSAG LSA trägt zwar den allgemeinen Titel „Verarbeitung von Daten der Beschäftigten", regelt tatsächlich aber nur drei eng zugeschnittene Sondertatbestände – nicht eine umfassende Beschäftigtendatenschutz-Generalklausel. Diese Differenzierung ist wichtig, weil außerhalb der drei Sondertatbestände unmittelbar auf Art. 6 Abs. 1 DSGVO i. V. m. einer beamten-, tarif- oder hochschulrechtlichen Aufgabennorm zurückgegriffen werden muss.

§ 26 DSAG LSA; § 50 BeamtStG; §§ 84 ff. LBG LSA; GenDG

Im Bewerbungsverfahren ist die Rechtsgrundlage statusbezogen zu differenzieren – je nachdem, in welche Art von Beschäftigungs­verhältnis die Bewerbung mündet:

• Bewerbungen für Tarif­beschäftigung führen bei Erfolg zu einem privatrechtlichen Arbeits­vertrag. Es entsteht bereits mit der Bewerbung ein vor­vertragliches Schuldverhältnis (§ 311 Abs. 2 BGB); die für die Anbahnung erforderliche Verarbeitung der Bewerber­daten stützt sich auf Art. 6 Abs. 1 lit. b DSGVO.
• Bewerbungen für ein Beamten­verhältnis führen bei Erfolg zu einem öffentlich-rechtlichen Status­verhältnis durch Ernennungs­verfügung. Da kein privatrechtlicher Vertrag entsteht, trägt lit. b hier nicht; einschlägig ist Art. 6 Abs. 1 lit. e DSGVO i. V. m. den beamten­rechtlichen Spezialnormen (insb. §§ 7 ff. BeamtStG, LBG LSA) sowie § 3 HSG LSA als hochschul­rechtliche Aufgabennorm.
• Bewerbungen für Lehrbeauftragte und sonstige hochschul­spezifische Konstellationen (z. B. §§ 38 ff. HSG LSA) richten sich nach den jeweils einschlägigen hochschul­rechtlichen Aufgabennormen (Art. 6 Abs. 1 lit. e DSGVO i. V. m. der konkreten Norm).

Eignungs­untersuchungen im engeren Sinne sind unabhängig vom Status durch § 26 Abs. 2 DSAG LSA gesondert geregelt (siehe Abschnitt 04).

Erforderlichkeitsmaßstab und Datenminimierung

Erlaubt ist nur, was für die konkrete Stellenbesetzung erforderlich ist. Drei Konstellationen sind in der Hochschulpraxis besonders kritisch zu prüfen:

• Foto im Lebenslauf: Für die Eignungs­beurteilung regelmäßig nicht erforderlich. Eine aktive Aufforderung zur Vorlage eines Bewerbungsfotos – sei es bereits in der Stellenausschreibung (§ 11 AGG) oder im weiteren Auswahlverfahren – eröffnet ein erhebliches Diskriminierungs­risiko nach §§ 1, 7 AGG (insb. wegen Geschlecht, ethnischer Herkunft, Alter, Religion oder Behinderung) und ist datenschutzrechtlich auf das Erforderliche im Sinne von Art. 5 Abs. 1 lit. c DSGVO zu beschränken. Bewerbungen ohne Foto dürfen nicht benachteiligt werden; freiwillig beigefügte Fotos sind zulässig, sollten aber nicht zum Bewertungs­kriterium werden – Stichwort diskriminierungs­freie Verfahrens­gestaltung.
• Geburtsdatum, Familienstand, Staatsangehörigkeit: Für die fachliche Eignungsprüfung im Bewerbungsverfahren regelmäßig nicht erforderlich. Spätestens im weiteren Einstellungsverfahren werden diese Daten allerdings relevant: das Geburtsdatum für die Prüfung von Höchstaltersgrenzen einer Verbeamtung, der Familienstand für tarifrechtliche Sonderregelungen, die Staatsangehörigkeit für exportkontrollrechtliche Erforderlichkeitsprüfungen (vertiefend Themenseite Exportkontrolle). Im Bewerbungsstadium gilt damit: keine Pflichtfelder, sondern abgestufte Erhebung erst dort, wo eine konkrete rechtliche Anknüpfung greift.
• Hintergrundrecherche im Internet: Eine systematische Recherche in sozialen Netzwerken zur Eignungsbewertung ist datenschutzrechtlich problematisch. Tragfähig ist allenfalls die Sichtung berufsbezogener Profile (z. B. ResearchGate, ORCID, fachliches LinkedIn-Profil), soweit dies transparent kommuniziert wird.

Speicherdauer nach Abschluss des Verfahrens

Nach Abschluss des Verfahrens sind die Bewerberdaten grundsätzlich zu löschen. Die übliche Aufbewahrungs­frist von rund sechs Monaten ergibt sich nicht aus einer einheitlichen Norm, sondern aus der Verzahnung zweier Fristen: § 15 Abs. 4 AGG verpflichtet Bewerberinnen und Bewerber, einen Entschädigungs­anspruch innerhalb von zwei Monaten ab Zugang der Ablehnung schriftlich geltend zu machen; nach Geltend­machung folgt die Drei-Monats-Frist des § 61b ArbGG zur Klage­erhebung. In Summe ergibt sich ein praktisches Aufbewahrungs­fenster von etwa fünf bis sechs Monaten ab Ablehnung. Bei tatsächlich geltend gemachten Ansprüchen ist die Aufbewahrung bis zum rechtskräftigen Verfahrens­abschluss zulässig. Eine pauschale Aufbewahrung darüber hinaus bedarf einer eigenständigen Rechtfertigung. Eine längere Speicherung in einem Bewerberpool erfordert eine separate Einwilligung der Bewerberin oder des Bewerbers (Art. 6 Abs. 1 lit. a DSGVO) – diese ist hier ausnahmsweise tragfähig, weil die Aufnahme in den Pool keine Vertragsanbahnung ist und damit die Freiwilligkeitsvermutung gegen Beschäftigtenkontext nicht greift.

Informationspflicht nach Art. 13 DSGVO: Bewerberinnen und Bewerber sind spätestens mit Eingang der Bewerbung über Verantwortlichen, Zwecke, Rechtsgrundlage, Empfänger, Speicherdauer, Betroffenenrechte und Beschwerderecht zu informieren – etwa über einen Datenschutzhinweis im Bewerbungsportal oder als Anhang zur Eingangsbestätigung.

Personalfragebogen bei Einstellung

Mit der Einstellungsentscheidung wechselt die Konstellation in das Vertragsanbahnungs- und Vertragsdurchführungsstadium. Datenkategorien, die im Bewerbungsstadium nicht erforderlich waren, werden nun für die Lohnsteuer-, Sozialversicherungs- und beamtenrechtliche Verwaltung relevant:

• Sozialversicherungsnummer und Steuer-ID: Erforderlich für die Lohn- und Gehaltsabrechnung (Art. 6 Abs. 1 lit. c DSGVO i. V. m. SGB IV und EStG).
• Konfessionszugehörigkeit: Erforderlich für die Erhebung der Kirchensteuer (Art. 6 Abs. 1 lit. c DSGVO i. V. m. den Kirchensteuergesetzen). Da Religion eine besondere Kategorie i. S. d. Art. 9 DSGVO ist, tritt zusätzlich Art. 9 Abs. 2 lit. b DSGVO hinzu. Eine Erhebung darüber hinaus ist nicht zulässig.
• Familienstand und Kinder: Erforderlich für die Anwendung beamten- und tarifrechtlicher Familienzuschläge (Art. 6 Abs. 1 lit. b und lit. e DSGVO i. V. m. den einschlägigen Besoldungs- und Tarifvorschriften).
• Bankverbindung, Anschrift: Vertragliche und steuerrechtliche Notwendigkeit (Art. 6 Abs. 1 lit. b und lit. c DSGVO).

Der Personalfragebogen sollte die einzelnen Datenkategorien jeweils mit Zweckangabe und Pflichtkennzeichnung (Pflichtfeld / freiwilliges Feld) auszeichnen. Eine Sammelangabe „erforderlich für das Beschäftigungsverhältnis" genügt der Informationspflicht nach Art. 13 DSGVO nicht.

Art. 6 Abs. 1 lit. b, c und e, Art. 9 Abs. 2 lit. b, Art. 13 DSGVO; § 3 HSG LSA; § 26 Abs. 2 DSAG LSA; §§ 1, 11, 15 Abs. 4 AGG; § 311 Abs. 2 BGB; SGB IV; EStG; Kirchensteuergesetze der Länder

Die Personalaktenführung der Beamtinnen und Beamten richtet sich nach § 50 BeamtStG und §§ 84 ff. LBG LSA. Über § 26 Abs. 1 DSAG LSA werden diese Vorschriften auf Tarifbeschäftigte des Landes entsprechend angewendet. Die Personalakte ist damit das zentrale Aktenführungsregime im Beschäftigungskontext der Hochschule.

Begriff und Inhalt der Personalakte

Personalakte ist nach § 84 LBG LSA die Sammlung aller Unterlagen, die die persönlichen und dienstlichen Verhältnisse der Beschäftigten betreffen und die mit dem Beschäftigungsverhältnis in einem unmittelbaren inneren Zusammenhang stehen. Sie umfasst regelmäßig:

• Bewerbungsunterlagen und Einstellungsverfügung,
• Ernennungs- und Beförderungsurkunden bzw. Arbeitsvertrag und Vertragsänderungen,
• Beurteilungen und Zwischenzeugnisse,
• Fortbildungsnachweise,
• disziplinarrechtliche Vorgänge,
• Erklärungen zu Nebentätigkeiten,
• Korrespondenz mit der Personalverwaltung.

Personalnebenakten und Sondertrennung

Bestimmte Datenarten sind nicht Bestandteil der Hauptpersonalakte, sondern in einer Personalnebenakte mit eigenem Aufbewahrungs- und Zugriffsregime zu führen. Zentral sind:

• Gesundheitsakte (amtsärztliche Untersuchungen, BEM-Akte, Schwerbehindertenakte) – nur für Personen mit dienstlicher Notwendigkeit zugänglich, regelmäßig getrennte Aufbewahrung beim Personalärztlichen Dienst oder beim Personaldezernat unter besonderem Verschluss.
• Beihilfeakte – getrennte Führung beim Beihilfesachbearbeitenden, getrennter Aktenschrank, getrennte IT-Berechtigung. Beihilfeunterlagen enthalten anders als reine AU-Bescheinigungen regelmäßig detaillierte Diagnosen, ICD-10-Codes und ärztliche Rechnungen mit ausführlicher Behandlungs­dokumentation – sie sind damit eindeutig besondere Kategorien personenbezogener Daten i. S. d. Art. 9 Abs. 1 DSGVO. Die Zugriffsbeschränkung ist entsprechend strikt zu handhaben: Vier-Augen-Prinzip bei Bearbeitung, rollenbasiertes Berechtigungs­konzept, vollständige Trennung von der Personalverwaltung. Eine pauschale Einsicht durch Vorgesetzte oder die Personalreferats­leitung kommt regelmäßig nicht in Betracht.
• Disziplinarakte nach Disziplinarrechts-Vorschriften – eigenständiges Aktenregime; Eintragungen sind nach Maßgabe der Tilgungsfristen aus der Personalhauptakte zu entfernen oder zu schwärzen.

Akteneinsichts- und Auskunftsrechte

§ 87 LBG LSA gewährt der Beamtin oder dem Beamten ein Recht auf Einsicht in die vollständige Personalakte. Das datenschutzrechtliche Auskunftsrecht nach Art. 15 DSGVO tritt parallel hinzu; die beamtenrechtlichen Vorschriften treten an dieser Stelle nicht an die Stelle, sondern neben das DSGVO-Recht. Die Hochschule muss im Rahmen einer Auskunft auch über Inhalte der Personalnebenakten informieren. Die §§ 11 und 12 DSAG LSA enthalten enge Beschränkungsmöglichkeiten – § 11 DSAG LSA betrifft jedoch primär Daten mit Bezug zur öffentlichen Sicherheit, der Verfolgung von Straftaten und Ordnungswidrigkeiten oder zum Schutz von Geheimhaltungs­interessen Dritter. Eine pauschale Berufung auf das laufende Verwaltungs­verfahren trägt die Beschränkung daher in der Regel nicht.

Aufbewahrungsfristen und Anbietungspflicht

§ 91 LBG LSA regelt die Aufbewahrungsfristen für Personalakten: Sie sind nach Schließung der Personalakte fünf Jahre aufzubewahren. Die Schließung erfolgt – je nach Konstellation – beim Ausscheiden ohne Versorgungsanspruch, beim Tod ohne hinterbliebene Versorgungsberechtigte, mit Ablauf des fünften Jahres nach Wegfall des Versorgungsanspruchs oder mit Erreichen der Regelaltersgrenze. Nach Ablauf der Aufbewahrungsfrist sind die Personalakten zu vernichten, sofern sie nicht vom Landesarchiv oder einem anderen zuständigen öffentlichen Archiv übernommen werden – die archivrechtliche Anbietungspflicht nach ArchG LSA ist vor jeder Vernichtung zu beachten.

Disziplinarvorgänge unterliegen abweichenden, regelmäßig kürzeren Tilgungsfristen nach den Vorschriften des Disziplinargesetzes. Tilgungsreife Eintragungen sind aus der Hauptpersonalakte zu entfernen oder zu schwärzen; eine pauschale Aufbewahrung bis zur Schließung der Personalakte lässt sich mit dem Tilgungsanspruch nicht ohne Weiteres in Einklang bringen.

Rollen- und Berechtigungs­matrix der HR-Akteure

Personalbezogene Daten sind nach dem Erforderlichkeits­prinzip (Art. 5 Abs. 1 lit. c DSGVO) nur den Stellen zugänglich zu machen, die sie zur Erfüllung ihrer konkreten Aufgabe benötigen. Die folgende Matrix beschreibt die typischen Zugriffs­profile an einer Hochschule. Sie ist als Orientierung und Ausgangspunkt eigener Berechtigungs­konzepte zu verstehen, nicht als abschließende Festlegung.

Aufbewahrungs- und Löschfristen-Matrix für die HR-Praxis

Personalakten und HR-Unterlagen unterliegen einem Geflecht aus beamten-, steuer-, sozialversicherungs- und archivrechtlichen Aufbewahrungs­pflichten. Die folgende Matrix bündelt die für eine Hochschule Sachsen-Anhalts wesentlichen Fristen. Wichtig: Die handelsrechtliche 10-Jahres-Frist nach § 257 HGB gilt für die Hochschule als Körperschaft des öffentlichen Rechts nicht; einschlägig sind § 147 AO (steuerliche Buchführungs- und Aufzeichnungs­pflichten) sowie die spezifischen Aufbewahrungs­vorschriften des SGB IV.

Vor jeder Vernichtung ist die archivrechtliche Anbietungspflicht nach ArchG LSA zu beachten; das Landesarchiv entscheidet über Übernahme oder Freigabe zur Vernichtung.

§ 50 BeamtStG; §§ 84–91 LBG LSA (insb. § 85 Beihilfeunterlagen, § 87 Auskunft/Akteneinsicht, § 88a Verarbeitung im Auftrag, § 90 Aufbewahrungsfristen, § 91 automatisierte Verarbeitung); Bundesbeihilfeverordnung (BBhV) – Sachsen-Anhalt verweist materiellrechtlich auf die BBhV in der jeweils geltenden Fassung; § 26 Abs. 1 DSAG LSA; Art. 15 DSGVO; §§ 11, 12 DSAG LSA; ArchG LSA; Disziplinargesetz Sachsen-Anhalt; § 41 Abs. 1 EStG; § 147 AO; §§ 28f, 28p SGB IV i. V. m. BVV; § 16 ArbZG; § 17 MiLoG; § 167 SGB IX; § 15 AGG

Krankheitsdaten sind besondere Kategorien personenbezogener Daten i. S. d. Art. 9 Abs. 1 DSGVO. Ihre Verarbeitung setzt zusätzlich zur Rechtsgrundlage nach Art. 6 DSGVO eine Erlaubnis nach Art. 9 Abs. 2 DSGVO voraus. Die einschlägigen Erlaubnis­tatbestände sind im Beschäftigungs­kontext klar zu trennen:

• Art. 9 Abs. 2 lit. b DSGVO ist die tragende Norm für die Verarbeitung durch den Arbeitgeber bzw. Dienstherrn zur Erfüllung seiner arbeits-, sozial- oder beamtenrechtlichen Pflichten (z. B. Lohnfortzahlung, BEM-Einleitung, Beihilfe, Schwerbehinderten­vorschriften). In der HR-Praxis ist sie die typische Rechts­grundlage.
• Art. 9 Abs. 2 lit. h DSGVO ist auf medizinisch geprägte Konstellationen begrenzt: Verarbeitung durch oder unter der Verantwortung von Angehörigen eines Heilberufs zu Zwecken der Gesundheits­vorsorge, Arbeits­medizin, Beurteilung der Arbeits­fähigkeit oder medizinischen Diagnostik. Einschlägig ist lit. h insbesondere für die Tätigkeit der betriebs­ärztlichen und amts­ärztlichen Stellen sowie für ärztliche Eignungs­untersuchungen. Eine Heranziehung als allgemeine Auffang­norm für jede Personal­verarbeitung von Gesundheits­daten ist nicht tragfähig.

Arbeitsunfähigkeitsbescheinigung (AU)

Bei der Krankmeldung ist – seit Einführung der elektronischen Arbeitsunfähigkeitsbescheinigung (eAU) – zu unterscheiden zwischen gesetzlich Versicherten und privat versicherten Beschäftigten:

• Gesetzlich versicherte Beschäftigte: Übermittlung der AU-Daten erfolgt elektronisch zwischen Krankenkasse und Arbeitgeber; die Beschäftigten teilen die Krankheit nur noch mit, der Arbeitgeber ruft die eAU bei der Krankenkasse ab.
• Privat versicherte Beschäftigte und Beamte: Hier gilt weiterhin die papierförmige Bescheinigung. Die Übermittlung der Diagnose ist nicht erforderlich; auf der AU steht nur der Krankheitsfakt, nicht die Diagnose.

Abrufverfahren der eAU: Der Arbeitgeber darf die elektronische Arbeitsunfähigkeitsbescheinigung beim GKV-Kommunikationsserver nur dann aktiv abrufen, wenn die Beschäftigte oder der Beschäftigte den Ausfall zuvor pflichtgemäß gemeldet hat (§ 5 Abs. 1a EFZG, § 109 SGB IV). Voraussetzungen für einen tragfähigen Abruf sind damit kumulativ: vorherige pflichtgemäße Krankmeldung der oder des Beschäftigten, Vorliegen eines konkreten Beschäftigungsverhältnisses und Abruf frühestens ab dem in der Krankmeldung angegebenen Beginn der Arbeits­unfähigkeit. Inhaltlich abrufbar sind ausschließlich Beginn und Ende der Arbeits­unfähigkeit sowie die Information, ob es sich um eine Erst- oder Folge­bescheinigung handelt; eine Diagnose oder ICD-10-Codes werden auf diesem Weg nicht übermittelt. Ein anlass­loser, „vorbeugender" Abruf durch das Personaldezernat – ohne vorherige Krankmeldung oder vor dem angegebenen Beginn der Arbeits­unfähigkeit – ist vom geregelten Verfahren des § 5 Abs. 1a EFZG i. V. m. § 109 SGB IV nicht gedeckt und begegnet erheblichen datenschutz- und sozialrechtlichen Bedenken.

Eine Aufbewahrung der AU-Bescheinigung in der Hauptpersonalakte ist datenschutzrechtlich problematisch; empfohlen wird die Ablage in einer separaten Krankenakte mit beschränktem Zugriff (Personaldezernat / zuständige Sachbearbeitung). Die Aufbewahrungsfrist richtet sich nach den arbeits- und sozialrechtlichen Erforderlichkeiten (Lohnfortzahlung, Sozialversicherung).

Betriebliches Eingliederungsmanagement (BEM)

§ 167 Abs. 2 SGB IX verpflichtet den Arbeitgeber zur Durchführung eines Eingliederungsmanagements, wenn Beschäftigte innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig sind. Der Arbeitgeber muss klären, wie die Arbeitsunfähigkeit überwunden und einer erneuten Arbeitsunfähigkeit vorgebeugt werden kann.

Datenschutzrechtlich gelten dabei drei Maximen:

• Freiwilligkeit der Mitwirkung: Das BEM ist kein Zwangsverfahren. Die Beschäftigten müssen über das Angebot informiert werden, dürfen es aber ablehnen. Eine Ablehnung darf nicht zu Nachteilen führen.
• Erforderlichkeit und Datenminimierung: Im BEM-Verfahren werden nur die Daten verarbeitet, die für die Eingliederung erforderlich sind. Diagnosen sind regelmäßig nicht erforderlich; ausreichend ist die Information über Funktionseinschränkungen, soweit sie für die Anpassung des Arbeitsplatzes relevant sind.
• Trennung der Aktenführung: Die BEM-Akte ist nicht Teil der Hauptpersonalakte. Sie wird in einem getrennten Aktenzweig mit beschränktem Zugriff geführt; nach Abschluss des Verfahrens ist sie regelmäßig zu löschen, soweit keine arbeitsrechtlichen Folgen dokumentationspflichtig bleiben.

Schwerbehindertendaten

Die Information über eine Schwerbehinderung nach § 2 SGB IX ist eine besondere Kategorie nach Art. 9 DSGVO. Sie wird in einer separaten Schwerbehinderten­akte geführt; Zugriff hat im Regelfall ausschließlich die zuständige Sachbearbeitung im Personaldezernat. Die Schwerbehinderten­vertretung hat kein generelles Aktenzugriffsrecht; § 178 Abs. 2 SGB IX gewährt ihr eine aufgabenspezifische Beteiligungs- und Informations­befugnis: Die Schwerbehinderten­vertretung ist in allen Angelegenheiten, die einen einzelnen schwerbehinderten Menschen oder die schwerbehinderten Menschen als Gruppe berühren, vom Arbeitgeber unverzüglich und umfassend zu unterrichten und vor einer Entscheidung anzuhören. Eine Akteneinsicht ist nur insoweit eröffnet, als sie zur Erfüllung dieser konkreten Aufgaben (z. B. Beteiligung bei Einstellung, Versetzung, Kündigung) erforderlich ist und die betroffene Person zustimmt oder ausdrücklich nicht widerspricht. Für die Umsetzung der besonderen Schutzvorschriften (Zusatzurlaub, Kündigungs­schutz etc.) ist die Verarbeitung nach Art. 9 Abs. 2 lit. b DSGVO zulässig.

Art. 9 Abs. 1 und Abs. 2 lit. b und h DSGVO; § 167 Abs. 2 SGB IX; § 178 Abs. 2 SGB IX; § 26 Abs. 2 DSAG LSA (Eignungsuntersuchungen); EFZG; eAU-Verfahren nach SGB V

Beschäftigten-Tracking liegt vor, wenn technische Einrichtungen geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu beobachten, zu protokollieren oder auszuwerten. Im Hochschulalltag betrifft das eine ganze Reihe von Systemen: Microsoft 365 mit seinen Telemetriedaten und Activity Reports, Lernmanagement­systeme, elektronische Laborbücher, Zeiterfassung, Videokonferenzsysteme mit Anwesenheitsprotokollen, E-Mail-Filter und Endpoint-Protection-Lösungen.

Mitbestimmung nach § 69 Nr. 1 und Nr. 2 PersVG LSA

Die einschlägige Mitbestimmungsnorm ist § 69 PersVG LSA – „Mitbestimmung in Rationalisierungs-, Technologie- und Organisations­angelegenheiten". Tatbestandlich relevant für IT-Systeme im Beschäftigungs­kontext sind insbesondere Nr. 1 und Nr. 2; die beiden Tatbestände sind nicht deckungsgleich und unterscheiden sich in Schutzrichtung, Reichweite und Eingriffstiefe:

• Nr. 1 erfasst nach dem Wortlaut des Gesetzes die Einführung, Anwendung, wesentliche Änderung oder wesentliche Erweiterung von automatisierten Verfahren zur Verarbeitung personenbezogener Daten der Angehörigen der Dienststelle „außerhalb von Besoldungs-, Vergütungs-, Lohn- und Versorgungs­leistungen". Diese tatbestandliche Bereichsausnahme im Gesetzeswortlaut nimmt die klassischen Bezüge- und Lohnabrechnungs­verfahren aus dem Anwendungsbereich der Nr. 1 heraus. Erfasst werden vor allem Personalverwaltungs­software jenseits der reinen Bezüge­bearbeitung, Bewerber­management, Reisekosten-, Identitäts- und Berechtigungs­management sowie HR-Analytics. Eine pauschale Aussage „jedes IT-System ist von Nr. 1 erfasst" wäre demgegenüber zu weit; reine Office-Anwendungen ohne eigenes Beschäftigten­datenregister fallen typischerweise nicht unter Nr. 1.
• Nr. 2 erfasst die Einführung, Anwendung, wesentliche Änderung oder wesentliche Erweiterung von technischen Einrichtungen, die objektiv geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen. Dies ist der typische Anknüpfungspunkt für Tracking- und Telemetrie-fähige IT-Systeme.

Im Hochschulalltag greift bei vielen modernen IT-Systemen vor allem § 69 Nr. 2 PersVG LSA; Nr. 1 ist tatbestandlich enger. Maßgeblich für Nr. 2 ist die objektive Eignung zur Überwachung, nicht die subjektive Absicht der Dienststelle. Das Bundesarbeitsgericht hat dies mit Beschluss vom 08. März 2022 (1 ABR 20/21) zu Microsoft Office 365 ausdrücklich klargestellt – funktional anwendbar auf den Tatbestand des § 69 Nr. 2 PersVG LSA: Schon die theoretische Möglichkeit, dass Telemetrie- und Aktivitätsdaten zur Verhaltens- oder Leistungs­kontrolle ausgewertet werden könnten, löst die Mitbestimmungs­pflicht aus. Eine pauschale Aussage „jedes IT-System ist mitbestimmungs­pflichtig" wäre demgegenüber zu weit – die Mitbestimmungs­intensität richtet sich nach der konkreten Eingriffstiefe.

EuGH C-55/18 (CCOO) – Arbeitszeiterfassung als Pflicht

Mit Urteil vom 14. Mai 2019 (C-55/18, CCOO) hat der EuGH den Mitgliedstaaten aufgegeben, eine objektive, verlässliche und zugängliche Arbeitszeiterfassung vorzuschreiben. Das BAG hat mit Beschluss vom 13. September 2022 (1 ABR 22/21) für Deutschland klargestellt, dass diese Pflicht bereits aus § 3 Abs. 2 Nr. 1 ArbSchG folgt – damit ist sie auch für öffentliche Hochschulen unmittelbar anwendbar. Datenschutzrechtlich heißt das: Die Arbeitszeitdaten der Beschäftigten dürfen erhoben werden (Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. § 3 Abs. 2 ArbSchG); sie sind aber strikt auf den Erfassungszweck zu beschränken und dürfen nicht ohne weitere Rechtfertigung zur Verhaltens- und Leistungskontrolle herangezogen werden.

Heimliche Überwachung – etwa der dauerhafte Mitschnitt der Bildschirminhalte oder die heimliche Auswertung der E-Mail-Postfächer – bewegt sich in einem strengen Ausnahmekorridor. Die einschlägige arbeits­gerichtliche Fallgruppe ist die verdeckte Datenerhebung zur Aufdeckung von Straftaten oder schwerwiegenden Pflicht­verletzungen: Sie setzt kumulativ einen konkreten, durch Tatsachen begründeten Verdacht gegenüber einer abgrenzbaren Personen­gruppe, die Erschöpfung milderer Mittel sowie eine verhältnismäßige, zeitlich und sachlich eng begrenzte Maßnahme voraus (vgl. BAG, Urteil v. 27. Juli 2017 – 2 AZR 681/16 – „Keylogger": Beweis­verwertungs­verbot bei verdeckter Software-Überwachung ohne konkreten Tatverdacht). Die jüngere BAG-Rechtsprechung zur Beweis­verwertung – insb. BAG, Urteil v. 29. Juni 2023 – 2 AZR 296/22 – hat den Aufklärungs­anspruch des Arbeitgebers in einzelnen Konstellationen offener Videoüberwachung gestärkt, ändert aber nichts an dem engen Korridor für verdeckte Maßnahmen. Eine datenschutz­rechtliche Rechtfertigung außerhalb dieser Fallgruppe – etwa als pauschale „Vorsorge­überwachung" zur Aufdeckung allgemeinen Fehlverhaltens – dürfte schwer zu erbringen sein.

Private Nutzung dienstlicher IT und Fernmeldegeheimnis

Eine Sonderkonstellation, die in der Hochschulpraxis häufig auftaucht: Wenn die Hochschule den Beschäftigten die private Nutzung von Dienst-E-Mail und dienstlichem Internetzugang erlaubt oder stillschweigend duldet, stellt sich die Frage, ob die Hochschule damit zur Anbieterin von Telekommunikationsdiensten i. S. d. TKG / TDDDG wird – mit der Folge, dass das Fernmeldegeheimnis (§ 3 TDDDG, in Umsetzung von Art. 5 Abs. 1 E-Privacy-Richtlinie) greift und eigene Kontroll- und Zugriffsrechte des Arbeitgebers stark eingeschränkt wären (Strafbarkeit nach § 206 StGB, kein Zugriff auf Postfächer im Krankheits-, Urlaubs- oder Ausscheidensfall).

Die Rechtslage hat sich seit der TKG-Neufassung 2021 erheblich gewandelt:

• Ältere Linie (Aufsichtspraxis und Teile der Arbeitsgerichtsbarkeit vor 2021, insb. DSK-Orientierungshilfe 2016, LfDI BW 2012, LAG Hessen 21.09.2018 – 10 Sa 601/18, ArbG Hannover 28.04.2005 – 10 Ca 791/04): Bei erlaubter Privatnutzung wird der Arbeitgeber Anbieter von Telekommunikationsdiensten i. S. d. TKG a. F.; Fernmeldegeheimnis greift; Zugriff nur mit Einwilligung oder in eng begrenzten Ausnahmen.
• Aktuelle Linie (TKG-Neufassung 2021, § 3 Nr. 61 TKG: „in der Regel gegen Entgelt" statt „mit oder ohne Gewinnerzielungsabsicht"; BNetzA-Hinweispapier vom Juli 2025; HessBfDI Tätigkeitsbericht 2023; LDI NRW Tätigkeitsbericht 2024; Rechtsprechung u. a. VGH Kassel 19.05.2009 – 6 A 2672/08.Z, LAG Berlin-Brandenburg 14.01.2016 – 5 Sa 657/15): Der Arbeitgeber ist regelmäßig kein Anbieter eines Telekommunikationsdienstes i. S. d. § 3 Nr. 61 TKG, weil die Bereitstellung der dienstlichen Kommunikationsmittel keine wirtschaftliche Tätigkeit ist, sondern Erfüllung der arbeitsrechtlichen Pflicht zur Bereitstellung geeigneter Arbeitsmittel (§ 611a BGB). Die für die TDDDG-Aufsicht zuständige Bundesnetzagentur (§ 30 Abs. 1 TDDDG) hat sich in einem Hinweispapier vom Juli 2025 dieser Linie angeschlossen. Hinzu kommt ein eigenständiges unionsrechtliches Argument: § 3 TDDDG setzt Art. 5 Abs. 1 der E-Privacy-Richtlinie (RL 2002/58/EG) um, der nach seinem Wortlaut nur die Vertraulichkeit von Diensten mit unbestimmtem Personenkreis (vgl. § 3 Nr. 44 TKG) schützt. Da das Postfach des Arbeitgebers ausschließlich den Beschäftigten zur Verfügung steht, fällt es bereits nach dem Wortlaut der Richtlinie nicht in den Schutzbereich (so auch Piltz/Kukin, K&R 2025, 761 ff.). Auf dieser Auslegung beruht die vertretbare Mehrheits­position, dass § 3 TDDDG im Beschäftigungs­verhältnis regelmäßig nicht greift. Eine höchstrichterliche Bestätigung dieser Linie steht bislang aus.
• Verbleibendes Restrisiko (LfDI Baden-Württemberg Tätigkeitsbericht 2024): Eine höchstrichterliche Klärung steht aus; einzelne Aufsichtsbehörden empfehlen weiterhin pragmatisch, die Privatnutzung auszuschließen. Die DSK hat ihre Orientierungshilfe von 2016 bisher nicht überarbeitet.

Datenschutzrechtliche Konsequenz: Auch wenn das Fernmeldegeheimnis nach der hier vertretenen Mehrheits­position regelmäßig nicht greift, verbleibt ein Restrisiko bis zu einer höchstrichterlichen Klärung. Unabhängig davon bleibt die DSGVO uneingeschränkt anwendbar. Zugriffe des Arbeitgebers auf Postfächer brauchen eine Rechtsgrundlage (Art. 6 Abs. 1 lit. b oder lit. e DSGVO i. V. m. der Aufgabennorm); die Informationspflicht nach Art. 13 DSGVO ist zu erfüllen. Eine anlass- und lückenlose Totalüberwachung begegnet erheblichen datenschutzrechtlichen Bedenken (vgl. HessBfDI, Tätigkeitsbericht 2024). Erkennbar private E-Mails dürfen auch außerhalb des Fernmeldegeheimnisses nicht gelesen werden – das gebietet der allgemeine Persönlichkeitsschutz und das datenschutzrechtliche Erforderlichkeitsprinzip.

Praxisempfehlung: Eine Dienstvereinbarung mit dem Personalrat ist das sauberste Instrument – unabhängig von der Frage, ob das Fernmeldegeheimnis greift. Sie sollte regeln: Status der privaten Nutzung (erlaubt / geduldet / untersagt), Zugriffsrechte des Arbeitgebers in Vertretungs-, Notfall- und Beendigungs-Konstellationen, Verfahren bei erkennbar privaten Inhalten (Vier-Augen-Prinzip, Personalrats-Beteiligung) sowie Umgang mit Postfach-Schließungen nach dem Ausscheiden. Die klarste arbeitsrechtliche Lage entsteht durch ein ausdrückliches Privatnutzungs-Verbot, das auch tatsächlich durchgesetzt wird – dann ist die Anwendbarkeit des Fernmeldegeheimnisses unstreitig ausgeschlossen.

Offboarding: Umgang mit dem E-Mail-Postfach beim Ausscheiden

Das Ausscheiden von Beschäftigten führt an der Schnittstelle von HR, Fachbereich und IT-Betrieb regelmäßig zu Konflikten, wenn Lehrstühle den weiteren Zugriff auf das Postfach fordern, um Kommunikations­verläufe oder Forschungs­kontakte nicht zu verlieren. Datenschutz­rechtlich sind hier drei Linien zu beachten:

1. Keine pauschale Weiterleitung an Dritte Eine automatische Weiterleitung sämtlicher eingehender E-Mails an Vertretungen oder Nachfolge­personen begegnet datenschutz­rechtlichen Bedenken. Eingehende Nachrichten können private Kommunikation enthalten, besonders schutzwürdige Inhalte (etwa BEM-Korrespondenz, Personalrats- oder Beschwerde­vorgänge) oder dem Geheimnisschutz nach § 203 StGB unterfallende Informationen, die nicht unbeteiligten Dritten zugänglich gemacht werden sollten.
2. Saubere Standardlösung: Auto-Responder Empfehlenswert ist die Sperrung des aktiven Zugriffs der ausgeschiedenen Person bei gleichzeitiger Einrichtung eines Abwesenheits­agenten, der neutral auf das Ausscheiden und die neuen Ansprech­personen verweist. Eingehende E-Mails können nach Versand der automatischen Antwort gelöscht oder als unzustellbar abgewiesen werden – je nach IT-Architektur und Festlegung in der Dienstvereinbarung.
3. Übergangsfristen und Übergabe Der Auto-Responder läuft für eine angemessene Übergangs­zeit (in der Praxis haben sich drei bis maximal sechs Monate bewährt). Danach wird das Postfach endgültig gelöscht. Die Übergabe laufender dienstlicher Geschäftsvorgänge sollte vor dem Ausscheiden durch die beschäftigte Person selbst erfolgen – etwa durch Export relevanter Vorgänge in Akten- oder Ticket­systeme. So wird der Konflikt zwischen dienstlichem Kontinuitäts­interesse und Schutz der Postfach-Inhalte schon präventiv entschärft.

Art. 5 Abs. 1 lit. a, b und c, Art. 6 Abs. 1 lit. e DSGVO; § 203 StGB; § 3 TDDDG i. V. m. § 3 Nr. 44 und § 3 Nr. 61 TKG sowie Art. 5 Abs. 1 RL 2002/58/EG (E-Privacy-Richtlinie) (bei erlaubter Privatnutzung); BNetzA-Hinweispapier zu NI-ICS (Juli 2025); Piltz/Kukin, K&R 2025, 761 ff.

Zweckbindung und Zweckänderungs­grenzen

§ 69 Nr. 1 und Nr. 2 PersVG LSA; § 87 Abs. 1 Nr. 6 BetrVG (bei privatrechtlichen Tochtergesellschaften); BAG, Beschluss v. 08.03.2022 – 1 ABR 20/21 (Microsoft Office 365); EuGH, Urteil v. 14.05.2019 – C-55/18 (CCOO); BAG, Beschluss v. 13.09.2022 – 1 ABR 22/21 (Pflicht zur Arbeitszeiterfassung); § 3 Abs. 2 ArbSchG; § 3 TDDDG i. V. m. § 3 Nr. 61 TKG; § 206 StGB; § 611a BGB; Art. 5 Abs. 1 lit. b und Art. 6 Abs. 4 DSGVO (Zweckbindung und Zweckänderung); Art. 5 Abs. 1 E-Privacy-Richtlinie 2002/58/EG; BAG, Urteil v. 27.07.2017 – 2 AZR 681/16 (Keylogger); BAG, Urteil v. 29.06.2023 – 2 AZR 296/22 (offene Videoüberwachung); BNetzA-Hinweispapier zur Einstufung von nummernunabhängigen interpersonellen TK-Diensten (NI-ICS) vom Juli 2025; HessBfDI Tätigkeitsbericht 2023 und 2024; LDI NRW Tätigkeitsbericht 2024; LfDI Baden-Württemberg Tätigkeitsbericht 2024

Der Einsatz von KI-Systemen im Beschäftigungskontext berührt zwei parallele Pflichtenregime: das datenschutzrechtliche (DSGVO) und das KI-rechtliche (KI-VO). Die Reichweite des Pflichtenprogramms hängt davon ab, ob das System unter Anhang III KI-VO fällt und damit als Hochrisiko-System einzustufen ist.

Art. 4 KI-VO – Pflicht zur KI-Kompetenz (AI Literacy)

Bereits seit 02. Februar 2025 verpflichtet Art. 4 KI-VO Anbieter und Betreiber, dafür zu sorgen, dass ihr Personal sowie andere mit dem Betrieb und der Nutzung von KI-Systemen befasste Personen über ein ausreichendes Maß an KI-Kompetenz verfügen. Die Anforderungen sind risikoangemessen: Je sensibler der Einsatzbereich (im HR-Kontext: Hochrisiko nach Anhang III Nr. 4), desto höher das geforderte Kompetenz­niveau.

Operative Konsequenz für die Hochschule: Verbindliche Schulungs­konzepte für HR-Verantwortliche, Personaldezernat, Personalrat und IT-Betreiber müssen Themen wie Funktionsweise und Grenzen des eingesetzten Systems sowie Bias-Risiken adressieren. Soweit zugleich Anforderungen an menschliche Aufsicht (Art. 14 KI-VO) und betroffenenbezogene Pflichten (Art. 26 Abs. 7 und 11 KI-VO) Bestandteil der Schulungs­inhalte sind, handelt es sich – soweit diese Pflichten erst zum 02. August 2026 vollumfänglich anwendbar werden – bis zu diesem Stichtag um vorbereitende Governance-Anforderungen; nach dem Stichtag bilden sie verbindliche Pflichtinhalte. Die Schulungen sind in jedem Fall zu dokumentieren.

Grundrechte-Folgenabschätzung nach Art. 27 KI-VO

Für öffentliche Stellen – also auch für staatliche Hochschulen – sieht Art. 27 KI-VO eine Grundrechte-Folgenabschätzung (Fundamental Rights Impact Assessment, FRIA) vor dem erstmaligen Einsatz eines Hochrisiko-KI-Systems vor. Wie die Betreiber­pflichten aus Art. 26 KI-VO ist auch Art. 27 KI-VO Teil des Hochrisiko-Pflichtenpakets, das nach Art. 113 KI-VO erst ab dem 02. August 2026 vollumfänglich verbindlich wird. Vor diesem Datum dient die FRIA-Vorbereitung dem Aufbau geeigneter Governance-Prozesse; ab dem 02. August 2026 ist die FRIA für jeden erstmaligen produktiven Einsatz eines Hochrisiko-KI-Systems verpflichtend.

Die FRIA ist zusätzlich zu einer DSFA nach Art. 35 DSGVO zu erstellen und muss insbesondere folgende Punkte abdecken: Beschreibung der vorgesehenen Nutzungs­prozesse, Zeitraum und Häufigkeit, betroffene Personen­gruppen, spezifische Schaden­risiken für betroffene Personen, menschliche Aufsicht, geplante Maßnahmen bei Pflicht­verletzungen, Beschwerde- und Governance-Strukturen. Gerade im HR-Kontext (Bewerber­auswahl, Personal­bewertung) ist die FRIA das zentrale Steuerungs­instrument zur Wahrung der Grundrechte betroffener Beschäftigter.

Anhang III Nr. 4 KI-VO – Beschäftigung als Hochrisiko-Bereich

Anhang III Nr. 4 der KI-VO listet Beschäftigung, Verwaltung von Arbeitskräften und Zugang zur selbstständigen Erwerbstätigkeit als Hochrisiko-Bereich auf. Erfasst sind insbesondere KI-Systeme zur:

• Bewerberauswahl und Eignungsbeurteilung,
• Bewertung von Bewerberinnen und Bewerbern bei Vorstellungsgesprächen oder Tests,
• Personalentwicklung, Beförderungs-, Versetzungs- und Beendigungsentscheidungen,
• Aufgabenverteilung auf Grundlage von Verhaltensmerkmalen,
• Leistungs- und Verhaltensüberwachung sowie -bewertung.

Pflichten als Betreiber (Art. 26 KI-VO)

Hochschulen treten beim Einsatz beschaffter HR-KI-Systeme typischerweise als Betreiber im Sinne der KI-VO auf. Die zentralen Betreiberpflichten nach Art. 26 KI-VO sind:

• bestimmungsgemäße Nutzung gemäß Anbieter-Anleitung (Abs. 1),
• menschliche Aufsicht durch geeignete und geschulte Personen (Abs. 2),
• Sicherstellung geeigneter Inputdaten und Datenschutz (Abs. 3, 4),
• Aufbewahrung automatisch erzeugter Protokolle für mindestens sechs Monate (Abs. 6),
• Information betroffener Beschäftigter und ihrer Vertretungen vor Inbetriebnahme (Abs. 7) – diese Pflicht ist im Beschäftigungskontext besonders bedeutsam, weil sie die Mitbestimmung des Personalrats nach § 69 PersVG LSA flankiert, ohne sie zu ersetzen,
• Information betroffener Personen bei Anhang-III-Systemen (Abs. 11),
• DSFA nach Art. 35 DSGVO bei Bedarf (Abs. 9) – beim Einsatz von Hochrisiko-KI im Bewerbungs- oder Personalmanagement liegt eine DSFA-Pflicht regelmäßig nahe.

Datenschutzrechtliche Schnittstelle

Datenschutzrechtlich ist Art. 22 DSGVO zentral: Beschäftigte haben das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Der EuGH hat mit Urteil vom 07. Dezember 2023 (C-634/21, SCHUFA) klargestellt, dass schon der Einsatz eines automatisierten Scoring-Systems mit hoher Entscheidungsrelevanz von Art. 22 DSGVO erfasst sein kann – auch wenn die formale Letztentscheidung bei einem Menschen liegt. Im HR-Bereich heißt das: Eine vollständig automatisierte Bewerbervorauswahl ohne menschliche Bewertung ist nur unter den engen Voraussetzungen des Art. 22 Abs. 2 DSGVO zulässig (Vertragsanbahnung, mitgliedstaatliche Norm, ausdrückliche Einwilligung) und erfordert in jedem Fall geeignete Schutzmaßnahmen.

Praxisempfehlung: KI-Systeme im HR-Bereich sind vor Beschaffung in einem strukturierten Verfahren zu prüfen – mit DSFA, KI-VO-Risikoklassifikation, Mitbestimmungsbeteiligung und einer Dienstvereinbarung, die Zweckbindung, menschliche Aufsicht, Berechtigungs­konzept und Auskunftsrechte regelt. Eine pauschale Freigabe generativer KI-Funktionen, die unbemerkt zur HR-Bewertungspraxis werden könnten, ist datenschutz- und KI-rechtlich nicht tragfähig.

Art. 22 DSGVO; Art. 6 Abs. 3, Art. 26, Anhang III Nr. 4 KI-VO; EuGH, Urteil v. 07.12.2023 – C-634/21 (SCHUFA); § 69 Nr. 1 und Nr. 2 PersVG LSA

Mit dem Hinweisgeberschutzgesetz (HinSchG) vom 02. Juli 2023 zur Umsetzung der EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937) sind Beschäftigungsgeber – unter näheren Voraussetzungen – verpflichtet, interne Meldestellen einzurichten und betriebene Stellen vor Repressalien zu schützen. Die Pflicht trifft Beschäftigungsgeber mit in der Regel mindestens 50 Beschäftigten (§ 12 HinSchG); öffentliche Stellen können nach § 14 HinSchG auch unterhalb dieser Schwelle erfasst sein. Hochschulen sind als juristische Personen des öffentlichen Rechts regelmäßig zur Einrichtung einer internen Meldestelle verpflichtet.

Datenschutzrechtliche Konstellation

Beim Hinweisgeberschutz prallen zwei Beschäftigtendatenschutz-Konstellationen aufeinander:

• Daten der hinweisgebenden Person – sie müssen vertraulich behandelt werden; § 8 HinSchG regelt das Vertraulichkeitsgebot. Die Identität darf ohne Einwilligung der hinweisgebenden Person grundsätzlich nicht offengelegt werden.
• Daten der Person, gegen die sich der Hinweis richtet – auch ihre Daten sind besonders zu schützen; sie haben Anspruch auf Anhörung und Information, soweit dies den Untersuchungszweck nicht gefährdet.

Pflichten der internen Meldestelle

Die interne Meldestelle muss organisatorisch unabhängig arbeiten. Datenschutzrechtlich relevant sind insbesondere:

• Rechtsgrundlage – differenziert nach Verfahrensphase: Die datenschutzrechtliche Bewertung folgt dem Lebenszyklus eines Hinweises:
  • Entgegennahme und Dokumentation des Hinweises (Eingang in der Meldestelle, Erstprüfung, Bestätigung an die hinweisgebende Person): Art. 6 Abs. 1 lit. c DSGVO i. V. m. §§ 10, 11, 13 HinSchG; bei besonderen Kategorien zusätzlich Art. 9 Abs. 2 lit. b oder lit. g DSGVO.
  • Interne Sachverhalts­aufklärung durch die Meldestelle (Folgemaßnahmen i. S. d. § 18 HinSchG, Anhörung der beschuldigten Person, Aktenführung): weiterhin lit. c DSGVO i. V. m. §§ 13, 17, 18 HinSchG; bei sensitiven Daten lit. b oder lit. g des Art. 9 Abs. 2 DSGVO.
  • Anschließende personal- und disziplinar­rechtliche Maßnahmen (Abmahnung, Disziplinarverfahren, beamtenrechtliche Folgen): eigenständige Rechtsgrundlage außerhalb des HinSchG; einschlägig sind die für die jeweilige Maßnahme geltenden Spezialnormen (LBG LSA, BeamtStG, Disziplinargesetz Sachsen-Anhalt, TV-L) i. V. m. Art. 6 Abs. 1 lit. e DSGVO bzw. lit. b. Eine pauschale Stützung dieser Folgemaßnahmen auf das HinSchG begegnet Bedenken.
• Speicherdauer: § 11 Abs. 5 HinSchG verlangt eine Aufbewahrung der Dokumentation für drei Jahre nach Abschluss des Verfahrens, soweit nicht andere Rechtsvorschriften eine längere Aufbewahrung vorsehen.
• Auskunftsrechte: Das datenschutzrechtliche Auskunftsrecht nach Art. 15 DSGVO ist mit dem Vertraulichkeitsgebot des HinSchG abzuwägen; eine Auskunft über die Identität der hinweisgebenden Person scheidet während des laufenden Verfahrens regelmäßig aus.
• DSFA-Pflicht: Wegen der hohen Schutzbedürftigkeit aller Beteiligten und der regelmäßig sensiblen Datenkategorien wird eine DSFA nach Art. 35 DSGVO empfohlen, sofern nicht ohnehin schon einer der Auslöser nach Art. 35 Abs. 3 DSGVO oder der LfD-LSA-Muss-Liste greift.

Schnittstelle zur Personalakte: Hinweisbezogene Vorgänge sind nicht in die Hauptpersonalakte aufzunehmen. Sie werden in einem getrennten Aktenzweig der Meldestelle geführt; Eintragungen in die Hauptpersonalakte erfolgen nur dann, wenn aus dem Hinweisverfahren ein dienstrechtlicher Vorgang resultiert (z. B. Disziplinarverfahren, Abmahnung) – und auch dann mit dem für solche Vorgänge geltenden Aktenregime.

Hinweisgeberschutzgesetz (HinSchG); Richtlinie (EU) 2019/1937; Art. 6 Abs. 1 lit. c, Art. 9 Abs. 2 lit. b und g, Art. 15, Art. 35 DSGVO; § 26 Abs. 1 DSAG LSA i. V. m. Personalaktenvorschriften LBG LSA

1. BDSG als Auslegungsmaßstab Das BDSG ist auf Landesbedienstete an Landeshochschulen keine unmittelbare Rechtsgrundlage und § 26 BDSG kein tragfähiger unmittelbarer Maßstab; eine vergleichende Heranziehung als Auslegungs­maßstab ist allenfalls mit erheblicher methodischer Zurückhaltung zulässig und ersetzt die landesrechtlichen Spezialnormen nicht. Maßgeblich sind das DSAG LSA, die einschlägigen Aufgaben- und Spezialnormen des Landes sowie die Aufsichtspraxis des LfD LSA.
2. § 26 DSAG LSA als Generalklausel missverstanden § 26 DSAG LSA regelt nur drei Sondertatbestände (Personalaktenführung, Eignungsuntersuchungen, GenDG-Anwendung) und ist keine umfassende Beschäftigtendatenschutz-Generalklausel. Verarbeitungen außerhalb dieser Sondertatbestände bedürfen einer eigenständigen Rechtsgrundlage.
3. Art. 88 DSGVO als Erlaubnisnorm behandelt Art. 88 DSGVO ist eine Öffnungsklausel und keine eigenständige Erlaubnisnorm. Die Rechtsgrundlage folgt aus Art. 6 Abs. 1 DSGVO i. V. m. der jeweiligen Aufgaben- oder Verpflichtungsnorm.
4. Einwilligung als „bequeme" Rechtsgrundlage Im Beschäftigungsverhältnis ist die Freiwilligkeit der Einwilligung wegen des strukturellen Über-/Unterordnungsverhältnisses nach Erwägungsgrund 43 DSGVO regelmäßig nicht gewahrt. Die Einwilligung trägt nur in eng begrenzten, tatsächlich freiwilligen Konstellationen.
5. Personalrat zu spät einbezogen Die Mitbestimmung nach § 69 Nr. 1 und Nr. 2 PersVG LSA muss vor Einführung einer technischen Einrichtung erfolgen – nicht nach Vertragsschluss oder Inbetriebnahme. Maßgeblich ist die objektive Eignung zur Verhaltens- oder Leistungskontrolle, nicht die subjektive Absicht.
6. Krankheitsdaten in der Hauptpersonalakte Krankheitsbezogene Daten – AU-Bescheinigungen, BEM-Akten, Beihilfeunterlagen, Schwerbehindertendaten – gehören nicht in die Hauptpersonalakte, sondern in einen gesonderten Aktenzweig mit beschränktem Zugriff.
7. Bewerberdaten zu lange aufbewahrt Nach Abschluss des Verfahrens sind Bewerberdaten grundsätzlich zu löschen. Die übliche Aufbewahrungs­frist von rund sechs Monaten ergibt sich nicht aus einer einheitlichen Norm, sondern aus der Verzahnung zweier Fristen: § 15 Abs. 4 AGG verpflichtet Bewerber, einen Entschädigungs­anspruch innerhalb von zwei Monaten ab Zugang der Ablehnung schriftlich geltend zu machen; nach Geltend­machung folgt die Drei-Monats-Frist des § 61b ArbGG zur Klage­erhebung. In Summe ergibt sich ein praktisches Aufbewahrungs­fenster von etwa fünf bis sechs Monaten ab Ablehnung. Bei tatsächlich geltend gemachten Ansprüchen ist die Aufbewahrung bis zum rechtskräftigen Verfahrens­abschluss zulässig. Eine pauschale Aufbewahrung darüber hinaus bedarf einer eigenständigen Rechtfertigung; die Aufnahme in einen Bewerber­pool erfordert eine separate, freiwillige Einwilligung.
8. KI im HR ohne Risikoklassifikation Anhang III Nr. 4 KI-VO erfasst HR-Systeme regelmäßig als Hochrisiko-Systeme. Eine pauschale Freigabe generativer KI-Funktionen, die unbemerkt zur HR-Bewertungspraxis werden, begegnet datenschutz- und KI-rechtlichen Bedenken. Empfehlenswert sind vorab eine klare Risikoklassifikation, eine DSFA und eine Dienstvereinbarung.
9. Hinweise und Personalakte vermischt Hinweise nach HinSchG werden in einem getrennten Aktenzweig der Meldestelle geführt. Eine direkte Aufnahme in die Hauptpersonalakte berührt das Vertraulichkeitsgebot des § 8 HinSchG und begegnet regelmäßig erheblichen Bedenken.

Rechtsquellen

• Verordnung (EU) 2016/679 (DSGVO) – insb. Art. 5 (Grundsätze); Art. 6 (Rechtmäßigkeit); Art. 9 (besondere Kategorien); Art. 13/14 (Informationspflichten); Art. 22 (automatisierte Entscheidungen); Art. 88 (Beschäftigungskontext).
• Datenschutzgesetz Sachsen-Anhalt (DSAG LSA) – insb. § 4 (Generalklausel öffentliche Stellen); § 11 und § 12 (Beschränkungen); § 26 (Sondertatbestände Beschäftigtenkontext); § 31 (Bußgeldausschluss).
• Hochschulgesetz Sachsen-Anhalt (HSG LSA) – insb. § 3 (Aufgaben), § 119 (Datenverarbeitung).
• Beamtenstatusgesetz (BeamtStG) – § 50 (Personalakte).
• Landesbeamtengesetz Sachsen-Anhalt (LBG LSA) – §§ 84 ff. (Personalakte, Akteneinsicht, Aufbewahrung).
• Personalvertretungsgesetz Sachsen-Anhalt (PersVG LSA) – § 69 (Mitbestimmung in Rationalisierungs-, Technologie- und Organisations­angelegenheiten; insb. Nr. 1 zu automatisierten Verfahren mit Beschäftigten­bezug und Nr. 2 zu überwachungs­geeigneten technischen Einrichtungen).
• Sozialgesetzbuch Neuntes Buch (SGB IX) – insb. § 167 Abs. 2 (BEM); § 178 Abs. 2 (Schwerbehindertenvertretung).
• Hinweisgeberschutzgesetz (HinSchG) – insb. §§ 8 (Vertraulichkeit), 10 (Verarbeitung), 11 (Dokumentation), 12, 14 (Pflicht zu interner Meldestelle).
• Allgemeines Gleichbehandlungsgesetz (AGG) – insb. §§ 1, 7, 11 und § 15 Abs. 4 (Geltendmachungs- bzw. Ausschluss­frist von zwei Monaten); ergänzend § 61b ArbGG (Klagefrist von drei Monaten).
• Gendiagnostikgesetz (GenDG) – Spezialregime für genetische Untersuchungen im Beschäftigungskontext.
• Verordnung (EU) 2024/1689 (KI-VO) – insb. Art. 4 (KI-Kompetenz/AI Literacy), Art. 6 Abs. 3, Art. 14 (menschliche Aufsicht), Art. 26 (Betreiberpflichten), Art. 27 (Grundrechte-Folgenabschätzung für öffentliche Stellen), Art. 111 (Übergangs­regelungen für Bestandssysteme), Art. 113 (zeitlich gestaffelte Anwendbarkeit), Anhang III Nr. 4 (Beschäftigungs­kontext).

Rechtsprechung

• EuGH, Urteil v. 30.03.2023 – C-34/21 (Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium) – Anforderungen an mitgliedstaatliche Öffnungsklauseln nach Art. 88 DSGVO.
• BAG, Urteil v. 08.05.2025 – 8 AZR 209/21 („Workday") – konzerninterne Übermittlung von Beschäftigtendaten an die US-Konzernmutter; Schadensersatz nach Art. 82 DSGVO i. H. v. 200 € wegen Kontrollverlusts; Wirksamkeitsmaßstab Art. 88 Abs. 2 DSGVO geschärft.
• EuGH, Urteil v. 14.05.2019 – C-55/18 (CCOO) – Pflicht zur objektiven, verlässlichen und zugänglichen Arbeitszeiterfassung.
• BAG, Beschluss v. 13.09.2022 – 1 ABR 22/21 – Pflicht zur Arbeitszeiterfassung nach § 3 Abs. 2 ArbSchG; Bestätigung der CCOO-Linie für Deutschland.
• BAG, Beschluss v. 08.03.2022 – 1 ABR 20/21 – objektive Eignung zur Überwachung als Maßstab; Microsoft Office 365 als technische Einrichtung mit Mitbestimmungspflicht nach § 87 Abs. 1 Nr. 6 BetrVG (funktional auch § 69 Nr. 2 PersVG LSA).
• EuGH, Urteil v. 07.12.2023 – C-634/21 (SCHUFA) – automatisierte Entscheidungsfindung nach Art. 22 DSGVO; einschlägig für KI-gestützte HR-Bewertungssysteme.
• BGH, Urteil v. 15.06.2021 – VI ZR 576/19 – Reichweite des Auskunftsanspruchs nach Art. 15 DSGVO; auch interne Vermerke und Korrespondenz mit Personenbezug sind grundsätzlich erfasst, Grenze bei reiner rechtlicher Bewertung.
• BAG, Urteil v. 27.04.2021 – 2 AZR 342/20 – Bestimmtheit des Auskunfts­verlangens nach Art. 15 Abs. 3 DSGVO im Beschäftigungs­verhältnis; Pflicht zur Stufenklage bei nicht hinreichend bestimmtem Begehren.
• BAG, Urteil v. 18.06.2015 – 8 AZR 848/13 – Aufbewahrung von Bewerbungsunterlagen abgelehnter Bewerber bis zum Ablauf der AGG-Frist.

Aufsichtspraxis

• LfD Sachsen-Anhalt, Orientierungshilfen und Hinweisdokumente – aufsichtsbehördliche Praxis im Land Sachsen-Anhalt; insb. zu Beschäftigtendatenschutz und Personalaktenführung.
• DSK, Orientierungshilfen – konsolidierte Aufsichtspraxis von Bund und Ländern.
• BNetzA, Hinweispapier zur Einstufung von nummernunabhängigen interpersonellen TK-Diensten (NI-ICS, Juli 2025) – Position der für TDDDG-Aufsicht zuständigen Behörde zum Anbieterbegriff i. S. d. § 3 Nr. 61 TKG.
• EDPB, Leitlinien und Stellungnahmen – Auslegungsstandards des Europäischen Datenschutzausschusses.

Querverweise auf eigene Themenseiten

• Hochschuldatenschutz – Normenrahmen und Rechtsgrundlagen für öffentliche Stellen Sachsen-Anhalts.
• Einwilligungserklärungen – Voraussetzungen, Freiwilligkeit, Beschäftigtenkontext und Workday-Urteil.
• Videoüberwachung – Spezialfall der Beschäftigten- und Mitbestimmungsdogmatik.
• Microsoft 365 an öffentlichen Hochschulen – Beschäftigtendatenschutz beim flächendeckenden M365-Einsatz.
• KI-Transkription und KI-Protokollierung – KI-Anwendung mit unmittelbarem Beschäftigtenbezug.
• KI-Governance an Hochschulen – KI-VO-Risikoklassen und Anbieter-/Betreiberpflichten.
• Mailinglisten und Newsletter – Beschäftigten-Newsletter mit automatischer IDM-Eintragung.
• Fotos und Bildaufnahmen – Mitarbeiterportraits und Model-Release-Verträge.
• Elektronisches Laborbuch (ELN) – Mitbestimmung und Tracking im Forschungskontext.
• Datenpannen – Meldepflicht bei Beschäftigtendaten-Vorfällen.

Vertiefende Lektüre

• Piltz, C. / Kukin, I.: Private Nutzung betrieblicher E-Mail-Postfächer – Aktuelles zur Frage der Geltung des Fernmeldegeheimnisses im Beschäftigungsverhältnis. K&R 12/2025, S. 761 ff. (Beck-Verlag, kostenpflichtig über Beck Online) – konsolidierte Darstellung der Rechtsentwicklung seit der TKG-Neufassung 2021 und Einordnung des BNetzA-Hinweispapiers vom Juli 2025. Frei zugänglich als Vorabfassung im Autoren-Blog: Piltz, „Erlaubte oder geduldete private Nutzung von E-Mail und Internet durch Arbeitnehmer – BNetzA lehnt Anwendung des Fernmeldegeheimnisses ab" (delegedata.de, September 2025).
• Düwell/Brink (Hrsg.), Beschäftigtendatenschutz, fortlaufende Auflagen – Standardkommentar zum Beschäftigtendatenschutz.
• Forst (Hrsg.), Datenschutz im Arbeitsverhältnis, fortlaufende Auflagen – praxisorientierte Kommentierung.
• Gola/Heckmann (Hrsg.), BDSG, einschlägige Auflagen – BDSG-Kommentar mit umfangreichen Bezügen zu Art. 88 DSGVO (für die methodisch-vergleichende Einordnung; nicht als Auslegungsmaßstab für Landesbedienstete heranzuziehen).