Personalakte & Datenschutz

Personalakte & Datenschutz: Das müssen Arbeitgeber wissen

Fachmännische Betreuung für Unternehmen in Dresden & Sachsen.

Kostenlose Erstberatung anfragen · TÜV-zertifizierte Berater · 15+ Jahre Erfahrung · 500 Mandate seit 2012, zufriedene Kunden

Die Personalakte ist das zentrale Dokument im Beschäftigtendatenschutz. Sie enthält sämtliche arbeitsrelevanten Informationen über einen Mitarbeiter — von der Bewerbung bis zum Austritt. Doch gerade weil Personalakten hochsensible personenbezogene Daten beinhalten, gelten strenge DSGVO-Anforderungen für ihre Führung, Aufbewahrung und Weitergabe.

Verstöße gegen den Datenschutz bei Personalakten können nicht nur Bußgelder nach Art. 83 DSGVO nach sich ziehen, sondern auch das Vertrauen der Belegschaft nachhaltig beschädigen. In diesem vollständigen Ratgeber erfahren Sie alles, was Sie als Arbeitgeber wissen müssen — von den Rechtsgrundlagen über Einsichtsrechte bis hin zur rechtskonformen Digitalisierung.

1. Was gehört in eine Personalakte? — Definition & Bestandteile

Eine Personalakte ist die systematische Sammlung aller Unterlagen und Dokumente, die das Arbeitsverhältnis eines Beschäftigten betreffen. Es gibt keine gesetzliche Definition, welche Dokumente zwingend enthalten sein müssen — doch in der Praxis hat sich ein Standardumfang etabliert.

Typische Bestandteile einer Personalakte sind:

• Bewerbungsunterlagen: Anschreiben, Lebenslauf, Zeugnisse, Referenzen
• Arbeitsvertrag samt Nachträgen und Änderungsvereinbarungen
• Lohn- und Gehaltsunterlagen: Gehaltsabrechnungen, Steuerklasse, Sozialversicherungsnachweise
• Qualifikationsnachweise: Fortbildungszertifikate, Schulungsnachweise
• Beurteilungen und Zielvereinbarungen
• Abmahnungen und disziplinarische Maßnahmen
• Urlaubs- und Fehlzeitenübersichten
• Korrespondenz zum Arbeitsverhältnis
• Kündigungs- und Aufhebungsverträge
• Arbeitszeugnisse

Grundsätzlich gilt: In die Personalakte gehören nur Informationen, die in einem unmittelbaren sachlichen Zusammenhang mit dem Arbeitsverhältnis stehen.

2. Rechtsgrundlagen: DSGVO, BDSG & BetrVG

Die Verarbeitung personenbezogener Daten in der Personalakte unterliegt einem komplexen Zusammenspiel verschiedener Rechtsgrundlagen:

DSGVO Art. 6 Abs. 1 — Allgemeine Erlaubnistatbestände

Die wichtigste Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten ist Art. 6 Abs. 1 lit. b DSGVO — die Erfüllung des Arbeitsvertrags. Ergänzend kommen rechtliche Verpflichtungen (lit. c) und berechtigte Interessen (lit. f) in Betracht.

DSGVO Art. 88 — Öffnungsklausel für Beschäftigtendaten

Art. 88 DSGVO ermöglicht es den Mitgliedstaaten, spezifischere Vorschriften für den Beschäftigtenkontext zu erlassen. Deutschland hat davon mit § 26 BDSG Gebrauch gemacht.

§ 26 BDSG — Datenverarbeitung im Beschäftigungskontext

§ 26 BDSG erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Diese Vorschrift ist die zentrale Norm für die Führung von Personalakten.

Betriebsverfassungsgesetz (BetrVG)

Das BetrVG regelt insbesondere die Einsichtsrechte der Arbeitnehmer (§ 83 BetrVG) sowie die Beteiligungsrechte des Betriebsrats bei der Verarbeitung von Mitarbeiterdaten.

Darüber hinaus können branchenspezifische Regelungen, Tarifverträge und Betriebsvereinbarungen weitere Vorgaben zur Personalaktenführung enthalten.

3. Zulässige vs. unzulässige Inhalte der Personalakte

Nicht alles, was ein Arbeitgeber über einen Mitarbeiter weiß, darf in die Personalakte aufgenommen werden. Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) begrenzt den Umfang strikt.

Zulässige Inhalte

• Bewerbungsunterlagen und Einstellungsdokumentation
• Arbeitsvertrag und Vertragsänderungen
• Qualifikations- und Weiterbildungsnachweise
• Leistungsbeurteilungen und Zielvereinbarungen
• Abmahnungen (zeitlich begrenzt)
• Steuer- und Sozialversicherungsdaten
• BEM-Einladungsschreiben (nicht das Gespräch selbst)

Unzulässige Inhalte

• Gesundheitsdaten ohne explizite Einwilligung oder gesetzliche Grundlage (Art. 9 DSGVO)
• Politische Meinungen und Gewerkschaftszugehörigkeit
• Religiöse Überzeugungen (außer für Kirchensteuer)
• Private Social-Media-Inhalte und private Korrespondenz
• Ärztliche Diagnosen — nur Arbeitsunfähigkeitsbescheinigungen ohne Diagnoseschlüssel
• Informelle Notizen und subjektive Eindrücke ohne dienstlichen Bezug
• Ermittlungsergebnisse zu unbewiesenen Vorwürfen

Praxistipp: Führen Sie eine separate, besonders geschützte Akte für Gesundheitsdaten (z. B. BEM-Verfahren). Diese darf nicht Bestandteil der regulären Personalakte sein.

4. Einsichtsrecht des Arbeitnehmers

Arbeitnehmer haben ein vollständiges Einsichtsrecht in ihre Personalakte. Dieses Recht ergibt sich aus zwei parallelen Rechtsgrundlagen:

§ 83 BetrVG — Einsicht in die Personalakte

Nach § 83 BetrVG hat jeder Arbeitnehmer das Recht, ohne Angabe von Gründen in seine vollständige Personalakte Einsicht zu nehmen. Er darf sich Notizen machen und Kopien anfertigen. Dieses Recht besteht unabhängig davon, ob ein Betriebsrat existiert.

Art. 15 DSGVO — Auskunftsrecht

Zusätzlich gewährt Art. 15 DSGVO ein vollständiges Auskunftsrecht über alle gespeicherten personenbezogenen Daten. Der Arbeitgeber muss innerhalb eines Monats eine vollständige Kopie aller verarbeiteten Daten bereitstellen — kostenfrei.

Wichtig: Das Einsichtsrecht umfasst auch digitale Daten, E-Mail-Korrespondenz über den Beschäftigten und Vermerke in HR-Systemen. Der Arbeitgeber darf die Personalakte Einsicht nicht verweigern oder verzögern.

Der Arbeitnehmer darf auch einen Bevollmächtigten (z. B. Rechtsanwalt oder Betriebsratsmitglied) zur Einsichtnahme hinzuziehen. Die Einsicht muss während der Arbeitszeit ermöglicht werden.

5. Aufbewahrungsfristen nach Ausscheiden

Die Personalakte Aufbewahrungsfrist richtet sich nach verschiedenen gesetzlichen Vorgaben. Es gibt keine einheitliche Frist — vielmehr müssen unterschiedliche Dokumente unterschiedlich lange aufbewahrt werden:

Dokumentenart	Aufbewahrungsfrist	Rechtsgrundlage
Lohn-/Gehaltsunterlagen	6 Jahre	§ 257 HGB, § 147 AO
Lohnsteuerunterlagen	6 Jahre	§ 41 Abs. 1 EStG
Sozialversicherungsnachweise	5 Jahre (Beitragsnachweis: 10 Jahre)	§ 28f SGB IV
Arbeitsunfähigkeitsbescheinigungen	1 Jahr nach Ende des Kalenderjahres	§ 3 Abs. 1 EFZG
Arbeitszeugnisse/Beurteilungen	3 Jahre (Verjährungsfrist)	§ 195 BGB
Arbeitsvertrag	3 Jahre nach Vertragsende	§ 195 BGB
Bewerbungsunterlagen (abgelehnt)	6 Monate	§ 15 AGG
BEM-Unterlagen	Sofort nach Abschluss	§ 167 SGB IX

Empfehlung: Erstellen Sie einen Löschkalender, der automatisch auf ablaufende Fristen hinweist. Nach Ablauf der längsten einschlägigen Frist muss die gesamte Personalakte datenschutzkonform vernichtet werden.

6. Digitale vs. physische Personalakte — Besonderheiten

Die Digitalisierung der Personalakte bietet erhebliche Vorteile — bringt aber auch zusätzliche datenschutzrechtliche Anforderungen mit sich.

Vorteile der digitalen Personalakte

• Effizientere Zugriffssteuerung: Rollenbasierte Berechtigungen sind technisch einfacher umsetzbar
• Revisionssichere Protokollierung: Jeder Zugriff wird automatisch dokumentiert
• Automatisierte Löschfristen: Erinnerungen und automatische Löschung möglich
• Platzsparend und schnellerer Zugriff

Datenschutzanforderungen an digitale Personalakten

• Verschlüsselung: Sowohl bei der Speicherung (at rest) als auch bei der Übertragung (in transit)
• Zugriffskontrolle: Authentifizierung, rollenbasierte Berechtigungen, Zwei-Faktor-Authentifizierung
• Protokollierung: Lückenlose Dokumentation aller Zugriffe und Änderungen
• Backup-Konzept: Regelmäßige Sicherungen mit eigenem Löschkonzept
• Auftragsverarbeitung: Bei Cloud-Lösungen ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwingend
• Datenschutz-Folgenabschätzung: Bei umfangreicher Verarbeitung besonderer Kategorien nach Art. 35 DSGVO erforderlich

Bei der physischen Personalakte müssen abschließbare Schränke, Zutrittsbeschränkungen zu den Aufbewahrungsräumen und klare Entnahme-/Rückgaberegeln sichergestellt werden.

7. Zugriffsberechtigungen & Need-to-Know-Prinzip

Nicht jeder im Unternehmen darf auf Personalakten zugreifen. Es gilt das strenge Need-to-Know-Prinzip: Nur Personen, die die Daten für ihre dienstlichen Aufgaben zwingend benötigen, erhalten Zugang.

Typischerweise sind zugriffsberechtigt:

• Personalabteilung: Vollzugriff auf die relevanten Akten ihres Zuständigkeitsbereichs
• Direkter Vorgesetzter: Eingeschränkter Zugriff (z. B. Beurteilungen, Zielvereinbarungen — nicht Gehaltsdetails)
• Lohnbuchhaltung: Nur abrechnungsrelevante Daten
• Geschäftsführung: Nur bei berechtigtem Interesse im Einzelfall
• Datenschutzbeauftragter: Im Rahmen seiner Kontrollaufgaben

Nicht zugriffsberechtigt sind grundsätzlich: Kollegen, IT-Administratoren (außer für technische Wartung unter Aufsicht), externe Dienstleister ohne AV-Vertrag.

Dokumentieren Sie alle Zugriffsberechtigungen schriftlich und überprüfen Sie diese mindestens jährlich. Jeder Zugriff auf digitale Personalakten sollte protokolliert werden.

8. Löschpflichten und Anonymisierung

Die DSGVO kennt kein „Recht auf ewige Speicherung“. Gemäß dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) müssen personenbezogene Daten gelöscht werden, sobald der Zweck der Verarbeitung entfällt.

Für die Personalakte bedeutet das:

• Während des Arbeitsverhältnisses: Veraltete Dokumente (z. B. alte Beurteilungen) regelmäßig prüfen und ggf. entfernen
• Abmahnungen: Müssen nach einem angemessenen Zeitraum (typisch: 2–3 Jahre) entfernt werden, wenn keine erneuten Vorfälle vorliegen
• Nach Ausscheiden: Systematische Löschung nach Ablauf der jeweiligen Aufbewahrungsfristen
• Bewerbungsunterlagen abgelehnter Bewerber: Spätestens 6 Monate nach Absage

Anonymisierung statt Löschung ist nur zulässig, wenn die Daten für statistische Zwecke benötigt werden und eine Reanonymisierung ausgeschlossen ist. In der Praxis ist die vollständige Löschung der Regelfall.

9. Übermittlung an Dritte

Die Weitergabe von Personalaktendaten an Dritte ist nur unter strengen Voraussetzungen zulässig:

Zulässige Übermittlungen

• Steuerberater/Lohnbüro: Im Rahmen eines Auftragsverarbeitungsvertrags (Art. 28 DSGVO)
• Sozialversicherungsträger: Gesetzliche Meldepflichten (§ 28a SGB IV)
• Finanzamt: Steuerrechtliche Pflichten (EStG, LStDV)
• Berufsgenossenschaft: Unfallversicherungsmeldungen
• Behörden: Bei konkreter gesetzlicher Grundlage oder richterlicher Anordnung

Unzulässige Übermittlungen

• Weitergabe an den neuen Arbeitgeber eines ehemaligen Mitarbeiters (ohne Einwilligung)
• Auskunft an anfragende Unternehmen über ehemalige Mitarbeiter
• Weitergabe innerhalb eines Konzerns ohne Rechtsgrundlage (Konzernprivileg gibt es in der DSGVO nicht!)

Jede Übermittlung an Dritte muss im Verzeichnis der Verarbeitungstätigkeiten dokumentiert werden.

10. Betriebsrat und Personalakte

Der Betriebsrat hat eine wichtige Rolle beim Schutz der Mitarbeiterdaten, aber keinen generellen Zugriff auf Personalakten:

• Kein Einsichtsrecht: Der Betriebsrat darf ohne Zustimmung des betroffenen Arbeitnehmers nicht in dessen Personalakte schauen
• Hinzuziehungsrecht: Der Arbeitnehmer kann ein Betriebsratsmitglied bei der eigenen Akteneinsicht hinzuziehen (§ 83 Abs. 1 S. 2 BetrVG)
• Mitbestimmung: Bei der Einführung von HR-Software hat der Betriebsrat ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG
• Beschwerderecht: Hält ein Arbeitnehmer Inhalte seiner Akte für unrichtig, kann er über den Betriebsrat eine Korrektur oder Entfernung verlangen

11. Häufige Fehler in der Praxis

In unserer Beratungspraxis als externer Datenschutzbeauftragter begegnen wir regelmäßig diesen typischen Fehlern:

1. Keine Trennung von Gesundheits- und Personalakte: BEM-Daten, ärztliche Atteste und Diagnosen werden in der regulären Akte abgelegt
2. Fehlende Löschroutinen: Personalakten ausgeschiedener Mitarbeiter werden „sicherheitshalber“ ewig aufbewahrt
3. Zu breite Zugriffsrechte: Jeder in der Personalabteilung kann alle Akten sehen — unabhängig von der Zuständigkeit
4. Kein Zugriffsprotokoll: Wer wann welche Akte eingesehen hat, ist nicht nachvollziehbar
5. Heimliche Nebenakten: Vorgesetzte führen informelle Aufzeichnungen über Mitarbeiter außerhalb der offiziellen Akte
6. Verweigerung der Einsicht: Arbeitnehmer werden bei Einsichtsersuchen abgewimmelt oder auf „nächste Woche“ vertröstet
7. Unverschlüsselte digitale Akten: Personalakten als unverschlüsselte PDF-Dateien auf dem Netzlaufwerk
8. Fehlende Auftragsverarbeitungsverträge: Cloud-basierte HR-Software ohne AV-Vertrag im Einsatz

12. Checkliste: DSGVO-konforme Personalakte

Nutzen Sie diese Checkliste, um Ihre Personalaktenführung zu überprüfen:

• ☑ Rechtsgrundlage dokumentiert für jede Datenkategorie in der Personalakte
• ☑ Verarbeitungsverzeichnis enthält Eintrag zur Personalaktenführung
• ☑ Gesundheitsdaten separat aufbewahrt und besonders geschützt
• ☑ Zugriffsberechtigungen schriftlich definiert und regelmäßig überprüft
• ☑ Zugriffsprotokolle aktiviert (bei digitaler Akte)
• ☑ Löschkonzept mit konkreten Fristen für jede Dokumentenart
• ☑ Verschlüsselung bei digitaler Speicherung und Übermittlung
• ☑ AV-Verträge mit allen externen Dienstleistern (Lohnbüro, Cloud-Anbieter)
• ☑ Mitarbeiterinformation nach Art. 13 DSGVO über die Datenverarbeitung in der Personalakte
• ☑ Einsichtnahmeprozess definiert und kommuniziert
• ☑ Physische Sicherheit: Abschließbare Schränke, Zutrittskontrolle
• ☑ Regelmäßige Schulung der Personalabteilung zum Datenschutz
• ☑ Datenschutz-Folgenabschätzung durchgeführt (bei umfangreicher digitaler Verarbeitung)

13. Warum ein externer Datenschutzbeauftragter hilft — DATUREX GmbH

Die datenschutzkonforme Führung von Personalakten erfordert fundiertes Wissen im Arbeitsrecht, Datenschutzrecht und in der IT-Sicherheit. Ein externer Datenschutzbeauftragter bringt diese Expertise mit, ohne interne Interessenkonflikte.

Die DATUREX GmbH aus Dresden unterstützt Unternehmen in ganz Sachsen bei:

• Erstellung eines Löschkonzepts für Personalakten
• Aufbau eines Berechtigungskonzepts nach dem Need-to-Know-Prinzip
• Prüfung und Optimierung bestehender HR-Prozesse
• Technische und organisatorische Maßnahmen (TOM) für die Personalaktenführung
• Schulung der Personalabteilung zu DSGVO-Anforderungen
• Begleitung bei der Digitalisierung von Personalakten
• Durchführung von Datenschutz-Folgenabschätzungen

Unsere TÜV-zertifizierten Berater kennen die typischen Fallstricke und helfen Ihnen, Bußgeldrisiken zu minimieren und das Vertrauen Ihrer Mitarbeiter zu stärken.

Häufig gestellte Fragen zur Personalakte & Datenschutz

Darf der Arbeitgeber die Einsicht in die Personalakte verweigern?

Nein. Das Einsichtsrecht nach § 83 BetrVG und Art. 15 DSGVO ist ein zwingendes Recht des Arbeitnehmers. Der Arbeitgeber muss die Einsicht zeitnah ermöglichen — in der Regel innerhalb weniger Arbeitstage. Eine Verweigerung kann zu Schadensersatzansprüchen nach Art. 82 DSGVO führen.

Wie lange muss eine Personalakte nach dem Ausscheiden aufbewahrt werden?

Es gibt keine einheitliche Frist. Steuerrechtliche Unterlagen müssen 6 Jahre, sozialversicherungsrechtliche Nachweise 5 Jahre aufbewahrt werden. Als Faustregel gilt: Die gesamte Personalakte sollte spätestens 10 Jahre nach Ausscheiden des Mitarbeiters vollständig gelöscht werden.

Dürfen Abmahnungen dauerhaft in der Personalakte verbleiben?

Nein. Abmahnungen müssen nach einem angemessenen Zeitraum (in der Regel 2–3 Jahre) aus der Personalakte entfernt werden, sofern kein erneuter gleichartiger Verstoß vorliegt. Der Arbeitnehmer hat zudem jederzeit das Recht, eine Gegendarstellung zur Akte nehmen zu lassen.

Ist eine digitale Personalakte DSGVO-konform?

Ja, eine digitale Personalakte ist grundsätzlich DSGVO-konform — vorausgesetzt, die technischen und organisatorischen Maßnahmen stimmen. Dazu gehören Verschlüsselung, Zugriffskontrollen, Protokollierung und ein AV-Vertrag mit dem Software-Anbieter. Oft ist die digitale Akte sogar datenschutzfreundlicher als die physische, da Zugriffsrechte granularer gesteuert werden können.

Was passiert bei einem Datenschutzverstoß im Zusammenhang mit Personalakten?

Verstöße können nach Art. 83 DSGVO mit Bußgeldern von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes geahndet werden. Zudem haben betroffene Mitarbeiter Anspruch auf Schadensersatz nach Art. 82 DSGVO. Darüber hinaus drohen Reputationsschäden und ein Vertrauensverlust in der Belegschaft.