Unternehmen möchte einen externen IdentityCheck machen !?
Hallo zusammen, unsere amerikanische Firma (mit Niederlassung in D - 7 MA, einköpfiger BR) wurde im Dez. 2025 von einer anderen amerikanischen Firma übernommen - soweit so schlecht. Alle MA in D haben nun eine eMail an Ihre private eMail-Adresse bekommen, dass ein sog. externer IdentityCheck (yoti.com) gestartet werden soll/muss (die private eMail ist in Workday hinterlegt). Ein MA hat den Link mal gestartet und dort werden u.a. ein polizeilicher Führungszeugnis verlangt, ausserdem soll man beschreiben wo man die letzten 7 Jahre gewohnt hat, usw. Für mich alles sehr fraglich ob sowas rechtlich in D überhaupt erlaubt ist bzw. ob solch eine Anfrage ohne Information des BR hätte gestartet werden dürfen. Mir fallen an HR nun die folgenden Fragen ein:
- Welche rechtlichen bzw. arbeitsrechtlichen Grundlagen/Prozesse werden hier für die Erfassung des Authentifizierungsprozesses zu Grunde gelegt ?
- Welche Daten werden explizit zu welchem Zweck abgefragt ?
- Wie lange werden die Daten gespeichert ?
- Wo werden die Daten gespeichert ?
- Wer hat Zugriff auf diese Daten ?
- Entspricht der Prozess dem GDPR ?
- Wieso wird die eMail mit der Aufforderung des externen Authentifizierungsprozesses an die private eMail-Adresse gesendet ? Es gibt seitens der deutschen Mitarbeiter keinerlei Freigabe die private eMail-Adresse an externe Firma weiterzuleiten ! Wir sehen hier eine Datenschutzrechtsverletzung ! Zudem möchte ich erwähnen, dass ein Backgroundcheck im Vorfeld mit dem Betriebsrat laut Betriebsverfassunggesetzes hätte abglichen werden müssen.
Bin ich hier auf dem Holzweg ?
Community-Antworten (2)
07.01.2026 um 13:21 Uhr
Nein, bist nicht auf dem Holzweg.
Gerade bei Yoti scheint es einige Sicherheitsrisiken zu geben und ohne vorherige Beratung mit dem BR wird das sowieso schon mal nix. Dass private Mailadressen genutzt wurden, halte ich ebenfalls für unseriös. Ihr werdet doch sicherlich alle auch Firmenmailadressen haben.
07.01.2026 um 14:17 Uhr
Ich kenne mich da leider nicht aus, was das genau bedeutet. Vielleicht ist es unerheblich, da die private Adresse nur zum Empfang des "Anhang Yoti" ist.
Aber wenn man die private Mailadresse ins Spiel bringt, gibts dazu folgende Info:
Darf der Arbeitgeber meine private Mailadresse für dienstliche Zwecke nutzen?
Nein, der Arbeitgeber darf Ihre private E-Mail-Adresse grundsätzlich nicht für dienstliche Zwecke nutzen, da dies einen Eingriff in Ihre Persönlichkeitsrechte darstellt und das Fernmeldegeheimnis verletzt, selbst wenn die private Nutzung betrieblicher E-Mails erlaubt wäre; er muss alternative, rein dienstliche Wege nutzen oder Ihre private Adresse nur mit expliziter Einwilligung verarbeiten, was in der Praxis selten vorkommt, da er primär auf dienstliche Kommunikationswege verweisen kann . Warum der Arbeitgeber Ihre private E-Mail nicht nutzen darf
Persönlichkeitsrecht und Datenschutz: Ihre private E-Mail-Adresse ist durch das Grundgesetz und die DSGVO geschützt. Der Zugriff darauf ist ein Eingriff in Ihre Privatsphäre.
Fernmeldegeheimnis: Selbst wenn die private Nutzung betrieblicher E-Mails geduldet wird, unterliegt der Arbeitgeber dem Fernmeldegeheimnis und darf private Nachrichten nicht mitlesen, was auch die Weiterleitung auf private Accounts betrifft.
Kein Anspruch auf private E-Mail-Nutzung: Sie haben keinen Anspruch darauf, Ihre private E-Mail-Adresse für dienstliche Zwecke zu nutzen; der Arbeitgeber kann dies verweigern.
Was der Arbeitgeber tun darf und was nicht
Dienstliche E-Mails: Der Arbeitgeber darf auf dienstliche E-Mails zugreifen, besonders wenn die private Nutzung untersagt ist, aber nur auf dienstliche Inhalte, nicht auf private, die aus Versehen dort gelandet sind.
Kontrolle: Eine lückenlose Überwachung ist unzulässig. Kontrollen sind nur stichprobenartig und bei konkretem Verdacht erlaubt.
Private Nutzung betrieblicher Accounts: Eine allgemeine Erlaubnis zur privaten Nutzung betrieblicher E-Mails führt zu strengeren Datenschutzpflichten für den Arbeitgeber (Fernmeldegeheimnis). Oft wird eine klare Regelung (verbotene Nutzung) bevorzugt.
Empfehlung für Arbeitnehmer
Vermeiden Sie private Accounts: Nutzen Sie private Accounts nicht für dienstliche Zwecke und umgekehrt.
Klären Sie die Regeln: Fragen Sie nach den spezifischen Regeln zur Nutzung von E-Mail und Internet im Arbeitsvertrag oder in einer Betriebsvereinbarung.
Kennzeichnen Sie private Mails: Markieren Sie private Nachrichten in Ihrem dienstlichen Postfach als "Privat", um das Risiko zu minimieren.
Verwandte Themen
Gemeinsamer Betriebsrat mehrerer Unternehmen nach Betriebsübergang
Hallo, ich habe folgende Fragen. Zwei unternehmen haben im November 2006 einen Betriebsübergang vollzogen. Es handelt sich dabei um das Unternehmen in dem ich beschäftigt, und auch Mitglied des Be
Personelle Maßnahme nach §99 - Diskriminierung gegenüber dem internen Bewerber?
Hallo @ all, uns als BR quält im Momoent ein Einstellungsproblem. Vorweg - wir haben erst noch den Beschluss zu fassen, aber möchten vorher schon eine relativ sichere Meinung dazu vertreten - dahe
Auftragsdatenverarbeitungsvereinbarung mit Arbeitsschutz-Firma / Betriebsarzt
Hallo zusammen, unsere Firma hat eine externe SiFa sowie einen externen Betriebsarzt bestellt, beide angestellt in einer Dienstleistungsgesellschaft. Nun gab es eine Datenschutzpanne: ein MA hat die
Gültigkeit von Betriebsvereinbarung bei Betriebsübergang eines Betriebsteils
Guten Morgen liebe Community, wir haben da eine spezielle Frage zu der wir bisher noch keine verbindliche Einigung finden konnten. Folgendes Szenario: Aus Unternehmen A (mit Betriebsrat) wird ein Be
Anhörung: Nicht identisch mit Stellenausschreibung - neu
Wir haben eine Anhörung erhalten. Folgende Abweichung: Die Stelle war als "Vollzeit" ausgeschrieben. Die Einstellung einer externen Person ist nun in der Anhörung auf "Teilzeit" vorgenommen worden. Da