DSGVO Mitarbeiter-Überwachung: 6 Grenzen + BAG-Linie

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026· Kategorie: DSGVO

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

6 Grenzen der Mitarbeiter-Überwachung nach DSGVO + BAG-Rechtsprechung
Rechtsgrundlage: § 26 BDSG + Art. 6/9 DSGVO + BetrVG-Mitbestimmung
Heimliche Überwachung: nur bei begründetem Verdacht + verhältnismäßig (BAG-Linie)
Software-Tracking: Pflicht-Information + Rollen-Beschränkung + Aufbewahrungsfrist
Verstoß: Beweisverwertungsverbot im Arbeitsgericht + DSGVO-Bußgeld

Hauptartikel: Hauptartikel: VVT erstellen 2026 — der vollständige Pillar-Artikel zum Thema.

1. § 26 BDSG-Voraussetzungen

Verarbeitung MA-Daten zum Zweck Beschäftigungsverhältnis. Verhältnismäßigkeit Pflicht. Bei Verdacht: § 26 Abs. 1 Satz 2.

2. Bildschirm-Recording

Kontinuierliches Recording: verboten (BAG 1 ABR 16/22). Anlassbezogen + dokumentiert: erlaubt.

3. Tastatur-Logger / Keylogger

BAG 2 AZR 681/16: heimlicher Keylogger unzulässig, Beweise nicht verwertbar.

4. E-Mail-Inhalts-Scanning

BAG: bei privater E-Mail-Erlaubnis Datenschutz-Hinweis. Inhalts-Scanning ohne Anlass unzulässig.

5. KI-Performance-Tracking

EU AI Act Art. 5 Abs. 1 lit. f: Emotion-Detection am Arbeitsplatz verboten. Performance-Tracking ohne Einwilligung + Mitbestimmung unzulässig.

6. Betriebsrats-Mitbestimmung § 87 Abs. 1 Nr. 6 BetrVG

Bei jedem technischen Überwachungs-System: zwingende Mitbestimmung. Ohne BR-Zustimmung: unzulässig.

Zusammenfassung

Kernpunkte dieses Artikels:

Mitarbeiter-Überwachung unter DSGVO ist rechtlich eng begrenzt — § 26 BDSG fordert konkreten Anlass, Verhältnismäßigkeit und Zeit-Begrenzung.
Bildschirm-Recording, Keylogger und E-Mail-Inhalts-Scanning sind ohne konkrete Verdachtssituation pauschal unzulässig.
EU AI Act Art. 5 Abs. 1 lit. f verbietet Emotion-Detection am Arbeitsplatz vollständig — Performance-Tracking ohne Einwilligung und Mitbestimmung ist unzulässig.
EuGH C-396/22 (2024) bestätigt: Verdeckte Überwachung ist unzulässig, daraus gewonnene Beweise sind im Arbeitsgerichtsverfahren unverwertbar.

Bauen Sie vor jedem Tool-Einsatz eine Monitoring-Policy mit Rechtsgrundlage, Aufbewahrungsfrist und Zugriffsrechten auf — und holen Sie die Betriebsrats-Zustimmung nach § 87 Abs. 1 Nr. 6 BetrVG schriftlich ein.

Häufig gestellte Fragen

Wann darf ich überwachen?

Bei konkretem Verdacht (Diebstahl, Datenmissbrauch) + zeitlich begrenzt + dokumentiert + verhältnismäßig.

EuGH C-396/22 (2024)

Heimliche Aufzeichnung am AP unzulässig, Beweise nicht verwertbar.

Quellen

Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de (Stand: laufend, BMJ-Servicestelle)
Europäische Kommission — Datenschutz-Hauptseite (Stand: laufend)
EDPB Jahresbericht 2023 (Executive Summary, deutsch) (Stand: 08.2024)

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.