BEM-Daten: Die strikte Trennungspflicht ist jetzt Gesetz

Arbeitgeber müssen Gesundheitsdaten von Personalakten strikt trennen – sonst drohen hohe Bußgelder und unwirksame Kündigungen.

Das neue Geschäftsjahr 2026 beginnt für Personalabteilungen in Deutschland und der EU mit einer drängenden Pflicht: Die vollständige und nachweisbare Trennung von Gesundheitsdaten aus dem Betrieblichen Eingliederungsmanagement (BEM) von den allgemeinen Personalakten. Rechts- und Datenschutzexperten warnten am Montag, die Schonfrist für „gemischte Ablagen“ sei endgültig vorbei. Nach einer Reihe wegweisender Urteile der Arbeitsgerichte Ende 2025 ist die strikte „funktionale und räumliche“ Trennung zur Top-Priorität für die Personalarbeit geworden. Verstöße riskieren massive DSGVO-Bußgelder und die Ungültigkeit von Kündigungen.

Neue Compliance-Vorgaben setzen den Maßstab

Führende HR-Dienstleister wie ADP und das deutsche Fachportal Haufe haben ihre Compliance-Leitfäden für 2026 aktualisiert. Die Botschaft ist eindeutig: Gesundheitsbezogene Daten aus dem BEM genießen einen höheren Schutzstandard als normale Mitarbeiterunterlagen. Eine Trennung nur durch separate Ordner im selben Schrank oder digitalen Verzeichnis reicht nicht mehr aus.

Es muss eine echte „Firewall“ – sowohl physisch als auch digital – zwischen dem BEM-Team und der restlichen Personalabteilung existieren. Hintergrund ist Artikel 9 der DSGVO, der biometrische und Gesundheitsdaten besonders schützt. Schon der unbeabsichtigte Zugriff auf sensible Diagnosen kann einen schwerwiegenden Verstoß darstellen.

Passend zum Thema BEM und DSGVO: Viele Unternehmen stehen vor genau den praktischen Fragen, die jetzt entscheidend sind — wer darf welche Akten sehen, wie dokumentiere ich Zugriffsrechte, und welche Vereinbarungen braucht der Betriebsrat? Ein kostenloses E‑Book liefert eine komplette Anleitung für den BEM‑Prozess, Gesprächsleitfäden, Checklisten und eine Muster‑Betriebsvereinbarung zur sofortigen Umsetzung. Unverzichtbar für DPOs, Betriebsräte und HR‑Verantwortliche. Jetzt kostenlosen BEM‑Leitfaden mit Vorlagen herunterladen

Arbeitsgerichte schaffen klare Fakten

Die Dringlichkeit speist sich aus gefestigter Rechtsprechung. Ein Präzedenzfall des Landesarbeitsgerichts Baden-Württemberg vom Januar 2025 (Az. 15 Sa 22/24) hat die Spielregeln neu definiert. Das Gericht erklärte eine Kündigung für unwirksam, weil der Arbeitgeber keinen datenkonformen BEM‑Prozess durchgeführt hatte.

Entscheidend war die Feststellung: Wenn ein externer BEM‑Dienstleister oder ein internes Team die Gesundheitsdaten nicht strikt von den für Kündigungen verantwortlichen Entscheidungsträgern getrennt hält, ist der gesamte BEM‑Prozess fehlerhaft. Für 2026 bedeutet das: Personalreferenten, die Verträge oder disziplinarische Maßnahmen verwalten, müssen technisch und organisatorisch von den medizinischen Details der BEM‑Akte ausgeschlossen sein. Das „Need-to-know“-Prinzip wird nun extrem streng ausgelegt.

Die Herausforderung für digitale HR-Systeme

Eine große Hürde für Unternehmen ist die Umsetzung in der IT‑Architektur. Integrierte Human Capital Management (HCM)‑Systeme bergen das Risiko unbeabsichtigter Datenvermischung. Oft haben Standard‑Administratorenrollen zu weitreichende Zugriffsrechte, die auch BEM‑Module einschließen.

Der neue Standard verlangt „digitale Silos“. Zugriffsrechte müssen so konfiguriert werden, dass nur das autorisierte BEM‑Team die sensiblen Gesundheitsdaten einsehen kann. Die Personalakte sollte lediglich das administrative Minimum enthalten: die Einladung zum BEM, die Annahme oder Ablehnung durch den Mitarbeiter und das Endergebnis.

Spezifische Diagnosen, Therapiepläne oder psychologische Gutachten gehören in einen separaten, verschlüsselten digitalen Tresor oder einen physisch abgeschlossenen Aktenschrank, zu dem nur der BEM‑Beauftragte Zugang hat. Datenschutz‑Auditoren betonen: Schon die bloße Möglichkeit eines Zugriffs durch Unbefugte kann als Verstoß gewertet werden.

Hohe Risiken bei Nichtbeachtung

Die Konsequenzen von Verstößen sind 2026 drastisch gestiegen. Neben der Gefahr, Arbeitsgerichtsprozesse zu verlieren, drohen erhebliche Geldstrafen. Die Datenschutzaufsichtsbehörden in Ländern wie Berlin und Niedersachsen haben angekündigt, die Rechte der Beschäftigten in diesem Jahr besonders intensiv zu prüfen.

Bußgelder wegen des unsachgemäßen Umgangs mit besonders schützenswerten Daten nach Artikel 9 DSGVO können bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen. Hinzu kommt der kaum zu beziffernde Imageschaden durch ein Datenleck mit Mitarbeiter‑Gesundheitsinformationen.

Ausblick: Der DPO wird zum Schlüsselakteur

Bis Ende 2026 wird das strikte Trennungskonzept voraussichtlich zum universellen Standard avancieren, die „gemischte Ablage“ dann ein Relikt der Vergangenheit sein. Als beste Praxis für das erste Quartal empfehlen Experten „Trennungs-Audits“ durch den betrieblichen Datenschutzbeauftragten (DPO). Personalverantwortliche sind aufgefordert, ihre internen Vereinbarungen und Software‑Berechtigungen umgehend zu überprüfen, um auf der sicheren Seite dieser verschärften Regulierung zu stehen.

PS: Viele HR‑Abteilungen unterschätzen, wie dringend jetzt maßgeschneiderte Vorlagen und Checklisten gebraucht werden — gerade weil Gerichte und Aufsichtsbehörden strenger prüfen. Holen Sie sich das kostenlose E‑Book mit praktischen Gesprächsleitfäden, Muster‑Betriebsvereinbarung, Checklisten für digitale Silos und konkreten Empfehlungen für DPOs und Betriebsräte. Damit reduzieren Sie rechtliche Risiken und dokumentieren compliance‑sichere Prozesse. Gratis BEM‑E‑Book und Mustervereinbarung herunterladen