Datenschutz im Bereich HR

Zuletzt aktualisiert am 7. April 2026

Im HR-Bereich eines Unternehmens liegt die Verarbeitung von Unmengen an personenbezogenen Daten in der Natur der Arbeit. Was es deshalb im Datenschutz besonders zu beachten gibt, erfahren Sie hier.

Rechte des Arbeitnehmers

Schon wenn die Bewerbung eines Interessenten im Unternehmen eingeht, beginnt die Verarbeitung personenbezogener Daten. Der Datenschutz hat hier das Ziel, die Persönlichkeitsrechte des (zukünftigen) Arbeitnehmers zu schützen.

Deshalb hat der Arbeitnehmer das Recht, die über ihn gespeicherten Daten einzusehen. Dazu gehört nicht nur die Personalakte, sondern auch alle Daten, die zu seiner Person ansonsten gespeichert sind.

Außerdem hat der Arbeitnehmer das Recht, dass sensible Daten über ihn vom Arbeitgeber zurückgehalten werden. Dies ist zum Beispiel bei Informationen über Krankschreibungen oder den Gesundheitszustand der Fall. Grundsätzlich darf der Arbeitgeber personenbezogene Daten über den Arbeitnehmer auch nur weitergeben, wenn dies zur Erfüllung des Arbeitsvertrages notwendig ist oder eine Einwilligung vorliegt.

Wenn der Arbeitgeber vom Arbeitnehmer Dinge erfragt, die nicht erfragt werden dürfen, darf der Arbeitnehmer auch schweigen oder sogar lügen.

Pflichten des Arbeitgebers

Der Arbeitgeber (bzw im speziellen der HR-Bereich) haben dagegen auch diverse Pflichten gegenüber dem Arbeitnehmer, die ebenfalls dem Schutz seiner Persönlichkeitsrechte dienen.

Daten, die widerrechtlich erhoben, veraltet oder falsch sind, sind auf Antrag zu löschen, korrigieren oder zu sperren.

Wenn sensible Daten gespeichert werden sollen, zu deren Speicherung der Arbeitgeber nicht gesetzlich verpflichtet ist (zum Beispiel muss die Religionszugehörigkeit zur Erhebung der Kirchensteuer erfasst werden), muss eine Einwilligung vorliegen.

Über alle Vorgänge, die seine personenbezogenen Daten betreffen, ist der Arbeitnehmer umfassend zu informieren. Besonders muss darüber informiert werden, wer für die Verarbeitung verantwortlich ist, welcher Zweck vorliegt, welche Kategorie an Daten betroffen ist, ob Daten in Drittländer gelangen, wie lange gespeichert wird und warum dies erforderlich ist.

Zudem ist der HR-Bereich für den Schutz der Daten gegenüber unbefugten Dritten verantwortlich. Hierbei ist zu beachten, dass der Zugriff auf die Daten entsprechend mit Zugriffsberechtigungen geregelt sein sollte. Greifen Sie hierbei am besten auf bewährte Software zurück und lassen Sie sich bei der Auswahl und Einrichtung professionell von uns beraten.

Von dem HR-Bereich durchzuführende Handlungen

Um das Schutzniveau der DSGVO zu halten, müssen typischerweise folgende Handlungen bei Bedarf durchgeführt werden:

Die personenbezogenen Daten sind zu löschen, sobald der Zweck der Verarbeitung wegfällt. Hierzu gibt es diverse automatisierte Tools, über die wir Sie gerne beraten können.

Aufgabe des HR-Bereiches ist es zudem, die Datensparsamkeit einzuhalten und den Informationspflichten der DSGVO nachzukommen. Auch Zugriffs- und Zutrittskontrollen fallen in den Aufgabenbereich. Hierbei ist auch zu beachten, dass die Behandlung sensibler Daten getrennt von anderen Daten erfolgt. Auch ist regelmäßig zu kontrollieren, ob in Anspruch genommene Dienstleistungen und Software den Vorgaben der DSGVO entsprechen.

Zuletzt ist der HR-Bereich noch dafür verantwortlich, die Einhaltung der datenschutzrechtlichen Vorgaben jederzeit nachweisen zu können (Rechenschaftspflicht).

Fazit

Neben dem Management der „human resources“ fallen sehr viele Aufgaben aus dem Bereich des Datenschutzes in die Zuständigkeit des HR-Bereiches. Die Einhaltung der datenschutzrechtlichen Vorgaben hat hier einen sehr hohen Stellenwert.

Nicht erst durch die zunehmende Digitalisierung ergeben sich immer wieder Herausforderungen. Auch die Menge an zu beachtenden Vorschriften kann schnell unübersichtlich werden. Wir beraten Sie deshalb gerne zu optimalen Lösungen für Ihr Unternehmen.

Bewerbermanagement und Datenschutz

Der Datenschutz im Bewerbungsprozess beginnt bereits mit der Stellenausschreibung und erstreckt sich über den gesamten Bewerbungsprozess bis hin zur Löschung der Bewerbungsunterlagen. Arbeitgeber dürfen gemäß § 26 BDSG personenbezogene Daten von Bewerbern nur erheben, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist.

In der Praxis bedeutet dies: Fragen nach einer Schwangerschaft, der Religionszugehörigkeit, der politischen Überzeugung oder dem Familienstand sind grundsätzlich unzulässig, da sie für die Eignung des Bewerbers in der Regel keine Rolle spielen. Zulässig sind hingegen Fragen nach der fachlichen Qualifikation, relevanten Berufserfahrungen und — sofern für die Stelle erforderlich — nach einem Führungszeugnis oder der gesundheitlichen Eignung.

Aufbewahrungsfristen für Bewerbungsunterlagen

Ein häufiger Fehler in der HR-Praxis ist die zu lange Aufbewahrung von Bewerbungsunterlagen abgelehnter Bewerber. Grundsätzlich sollten Bewerbungsunterlagen spätestens sechs Monate nach Abschluss des Bewerbungsverfahrens gelöscht werden. Diese Frist orientiert sich an der Klagefrist des Allgemeinen Gleichbehandlungsgesetzes (AGG), innerhalb derer ein abgelehnter Bewerber Ansprüche wegen Diskriminierung geltend machen kann.

Möchte ein Arbeitgeber die Daten eines Bewerbers für künftige Stellenausschreibungen in einem Talentpool vorhalten, bedarf es dafür einer ausdrücklichen Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Diese Einwilligung muss freiwillig sein und kann jederzeit widerrufen werden.

Mitarbeiterdaten im laufenden Arbeitsverhältnis

Während des Arbeitsverhältnisses verarbeiten Arbeitgeber eine Vielzahl personenbezogener Daten: von der Personalakte über Arbeitszeiterfassungsdaten bis hin zu Krankmeldungen und Gehaltsabrechnungen. All diese Verarbeitungen müssen im Verarbeitungsverzeichnis dokumentiert und durch eine geeignete Rechtsgrundlage gedeckt sein.

Besondere Sensibilität erfordern Gesundheitsdaten, die unter den besonderen Schutz des Art. 9 DSGVO fallen. Die Arbeitszeiterfassung muss den Anforderungen der DSGVO entsprechen, und die private Nutzung von E-Mail und Internet am Arbeitsplatz sollte durch klare Betriebsvereinbarungen geregelt werden, um datenschutzrechtliche Konflikte zu vermeiden.

Datenschutz beim Austritt von Mitarbeitern

Auch nach Beendigung des Arbeitsverhältnisses bestehen datenschutzrechtliche Pflichten. Zugänge zu IT-Systemen müssen umgehend gesperrt, dienstliche E-Mail-Accounts deaktiviert und firmeneigene Geräte zurückgegeben werden. Die Personalakte ist unter Beachtung der gesetzlichen Aufbewahrungsfristen — in der Regel drei Jahre nach der letzten Gehaltsabrechnung — aufzubewahren und anschließend zu löschen.

Die DATUREX GmbH unterstützt als externer Datenschutzbeauftragter Unternehmen in Dresden und ganz Sachsen bei der datenschutzkonformen Gestaltung aller HR-Prozesse — von der Stellenausschreibung bis zum Offboarding.

Digitale Personalakte und Cloud-Lösungen

Immer mehr Unternehmen setzen auf digitale Personalakten und cloudbasierte HR-Management-Systeme. Diese bieten zwar erhebliche Effizienzvorteile, werfen aber auch datenschutzrechtliche Fragen auf. Bei der Nutzung von Cloud-Lösungen muss zunächst geklärt werden, ob eine Auftragsverarbeitung nach Art. 28 DSGVO vorliegt — was bei den meisten SaaS-Lösungen der Fall ist — und ob die Daten in einem Drittland gespeichert werden.

Die Zugriffsrechte auf digitale Personalakten müssen strikt nach dem Need-to-know-Prinzip vergeben werden. Nicht jeder HR-Mitarbeiter benötigt Zugriff auf alle Daten aller Mitarbeiter. Protokollierungsmechanismen sollten sicherstellen, dass jeder Zugriff nachvollziehbar ist. Die Erstellung eines differenzierten Berechtigungskonzepts gehört zu den zentralen Aufgaben des Datenschutzbeauftragten im HR-Bereich.