Zum Inhalt springen
🎉 Nur für kurze Zeit: Sparen Sie die Einrichtungsgebühr von 199€ - jetzt registrieren! Jetzt sparen
Rechtliches 4 min Lesezeit

GB Psych selbst erhoben: Warum 2026 zwei Aufsichten parallel prüfen können

Die 5%-Quote ab 2026 bringt die Gewerbeaufsicht zurück an den Werkstor. Wer die psychische Gefährdungsbeurteilung selbst über Excel oder Forms erhebt, riskiert parallel ein DSGVO-Bußgeld nach Art. 9 — bis 20 Mio € oder 4 % vom Konzernumsatz.

Rainer Orthober
Rainer Orthober
Compliance & Datenschutz
Symbolbild: Aktenordner „Beschäftigtendatenschutz" und „Arbeitsschutz" nebeneinander auf einem Schreibtisch mit DSGVO-Heft und § 5 ArbSchG-Notiz — zwei Aufsichten prüfen die psychische Gefährdungsbeurteilung

Mit dem Arbeitsschutzkontrollgesetz verzehnfacht sich ab 2026 die Wahrscheinlichkeit, dass die Gewerbeaufsicht klingelt — 5 % der Betriebe pro Jahr, gesetzliche Pflicht. Was in der öffentlichen Debatte fehlt: Bei einer GB Psych in Eigenregie sitzt parallel eine zweite Behörde am Tisch. Die Datenschutzaufsicht des Landes. Und ihr Bußgeldrahmen ist ein anderer.

Die Bußgeld-Architektur, die viele übersehen

§ 25 ArbSchG kennt jeder, der sich mit der GB Psych beschäftigt: bis 30.000 € bei mangelhafter oder fehlender Gefährdungsbeurteilung. Das ist das Bußgeld der Gewerbeaufsicht. Was daneben läuft:

  • Art. 83 (5) DSGVO: bis 20 Mio € oder 4 % des weltweiten Konzernumsatzes — bei Verstoß gegen Art. 5, 6 oder 9 DSGVO. Verhängt durch die Datenschutzaufsicht des jeweiligen Bundeslands.
  • § 43 BDSG: bis 50.000 € bei Verstößen gegen den Beschäftigtendatenschutz.

Die drei Stränge sind unabhängig voneinander. Eine Behörde verhängt nicht das Bußgeld der anderen. Sie verhängen ihre.

Warum die Datenschutzaufsicht überhaupt prüft

Eine GB Psych erhebt Antworten zu Belastung, Stress, Konflikten, Erschöpfung. Aus diesen Antworten lassen sich Rückschlüsse auf den Gesundheitszustand ziehen — und damit greift Art. 9 DSGVO: besondere Kategorien personenbezogener Daten, höchster Schutzstandard. Verarbeitung ist grundsätzlich verboten und nur in den engen Ausnahmen des Art. 9 (2) zulässig.

Im Eigenbau — Excel, Google Forms, MS Forms, SharePoint, Inhouse-Tool — sieht der Arbeitgeber regelmäßig die Rohantworten. Genau das ist das Problem. Anonymität im Sinne der DSGVO ist nicht ein Versprechen, sondern eine technische Eigenschaft der Architektur. Wer technisch Zugriff hat, verarbeitet Gesundheitsdaten — auch wenn er es organisatorisch verbietet.

Drei Pflichten, die im Eigenbau praktisch nie erfüllt sind

Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ist bei Beschäftigtendaten plus Gesundheitsdaten plus systematischer Erhebung faktisch immer Pflicht. Drei Treffer auf der WP248-Liste der Art-29-Gruppe genügen für Hochrisiko. Bei Eigenbau-Lösungen wird die DSFA praktisch nie erstellt; ihr Fehlen ist nach Art. 83 (4) DSGVO selbständig bußgeldbewehrt — auch ohne dass ein konkreter Datenschutzvorfall vorliegt.

Die Betriebsvereinbarung nach § 87 (1) Nr. 6/7 BetrVG ist die zweite Pflicht. Das Bundesarbeitsgericht hat sie für Gefährdungsbeurteilungen mit Beschluss 1 ABR 13/03 bestätigt, für psychische Belastungen explizit mit 1 ABR 104/09. Ohne BV fehlt zudem die Rechtsgrundlage nach Art. 88 DSGVO.

Die Mindestgruppengröße n ≥ 5 ist die dritte. Sie steht nicht nur in der GDA-Leitlinie, sondern bestimmt, ob ein Datensatz noch personenbezogen ist (Erwägungsgrund 26 DSGVO). Im Eigenbau ist sie Soll-Regel im Auswertungsleitfaden, nicht erzwungene Eigenschaft des Systems.

Was die Aufsicht 2026 typischerweise prüft

Die Gewerbeaufsicht prüft im Rahmen der GDA-Systemkontrollen den Stand der GB Psych — Existenz, Methode, Vollständigkeit, Maßnahmenkreislauf. Dokumentiert in der GDA-Leitlinie Beratung und Überwachung bei psychischer Belastung.

Die Datenschutzaufsicht prüft anlassbezogen — auf Beschwerde von Beschäftigten, im Rahmen branchenweiter Sonderprüfungen oder nach Hinweisen aus dem Tätigkeitsbericht des Bundesbeauftragten. Die DSK (Konferenz der unabhängigen Datenschutzaufsichtsbehörden) hat die Verarbeitung von Beschäftigtendaten zur Bewertung von Verhalten und Leistung explizit auf ihre Muss-Liste DSFA gesetzt.

Beide Aufsichten arbeiten unabhängig. Eine Beschwerde eines Beschäftigten reicht aus, um die Datenschutzaufsicht auf den Plan zu rufen — und sie wird dann nicht das ArbSchG prüfen, sondern die DSGVO.

Was eine compliante Erhebung architektonisch ausmacht

Zwei Mappen nebeneinander beschriftet 'Eigenerhebung' und 'Auftragsverarbeitung — Art. 28', mit einem brassfarbenen Schloss als Trennungssymbol — die architektonische Trennung von Erheber und Auswerter

Die Auftragsverarbeitung nach Art. 28 DSGVO trennt Erheber und Auswerter strukturell. Der Auftragsverarbeiter erhebt die Antworten, anonymisiert nach technisch erzwungener Schwelle und übergibt nur Aggregate. Der Arbeitgeber bleibt Verantwortlicher, hat aber keinen Rohdatenzugriff. Genau diese Trennung ist im Eigenbau strukturell nicht herzustellen.

Was eine compliante Erhebung in jedem Fall enthält: AVV nach Art. 28, technisch erzwungene n ≥ 5-Schwelle, dokumentierte TOM nach Art. 32, durchgeführte DSFA nach Art. 35, Betriebsvereinbarung nach § 87 BetrVG / Art. 88 DSGVO, Information nach Art. 13 DSGVO, definierte Löschfristen.

Die Konsequenz für 2026

Die GB Psych im Eigenbau ist nicht nur methodisch fragil — sie ist datenschutzrechtlich gleichzeitig ein offenes Bußgeld-Risiko. Wer 2026 von der Gewerbeaufsicht angesprochen wird, hat nicht ein Verfahren am Hals, sondern potenziell drei.

Vertiefend mit allen Quellen: Datenschutz und psychische Gefährdungsbeurteilung in Eigenregie — wann der Arbeitgeber gegen die DSGVO verstößt. Und der Fakten-Hub zur 5%-Quote: Behördliche Prüfung der GB Psych 2026.

Quellen

  1. DSGVO Art. 9 — besondere Kategorien personenbezogener Daten. dsgvo-gesetz.de/art-9-dsgvo.
  2. DSGVO Art. 35 — Datenschutz-Folgenabschätzung. dsgvo-gesetz.de/art-35-dsgvo.
  3. DSGVO Art. 83 — Allgemeine Bedingungen für die Verhängung von Geldbußen. dsgvo-gesetz.de/art-83-dsgvo.
  4. § 26 BDSG — Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. gesetze-im-internet.de/bdsg_2018/__26.
  5. § 87 BetrVG — Mitbestimmungsrechte. gesetze-im-internet.de/betrvg/__87.
  6. WP 248 — Leitlinien zur Datenschutz-Folgenabschätzung (Art-29-Gruppe / EDSA). ec.europa.eu/newsroom/article29/items/611236.
  7. DSK Muss-Liste DSFA, Konferenz der unabhängigen Datenschutzaufsichtsbehörden. datenschutzkonferenz-online.de.

Tags

DSGVODatenschutzGB PsychEigenerhebungBußgeldArt. 9 DSGVODSFA

Weitere Artikel

Gefächerter Stapel dunkelblauer Aktenmappen auf einem hellen Schreibtisch, daneben eine Lupe und ein Füllfederhalter — Symbolbild für die 11.824 Eingaben aus dem 34. BfDI-Tätigkeitsbericht 2025

BfDI legt 34. Tätigkeitsbericht vor: Beschwerden +36%, 129 aufsichtsrechtliche Maßnahmen

Empfangshalle eines Regierungspräsidiums mit klassischer Architektur, Aktenkoffer und leerer Sitzbank – Symbolbild zur behördlichen Prüfung der psychischen Gefährdungsbeurteilung 2026

GB Psych 2026: Was Behörden in BW, NRW und Hessen jetzt prüfen

Luftaufnahme Stuttgart mit Neuem Schloss und Standortvergleichs-Diagramm der Regierungsbezirke Karlsruhe, Freiburg, Stuttgart und Tübingen – Symbolbild zur Auswertung des Jahresberichts der Gewerbeaufsicht Baden-Württemberg 2023

Gewerbeaufsicht Baden-Württemberg: nur 43 % der GB-Psyche-Zielquote 2023 erfüllt