Digitale Personalakte im öffentlichen Dienst: DSGVO, Löschkonzept und Aufbewahrungsfristen rechtssicher umsetzen
Eine ehemalige Mitarbeiterin stellt ein Auskunftsersuchen nach Art. 15 DSGVO. Sie möchte wissen, welche personenbezogenen Daten noch über sie gespeichert sind. In der Praxis zeigt sich häufig: Dokumente zur Person liegen verstreut in Papierakten, auf Netzlaufwerken und in E-Mail-Postfächern, niemand überwachtsystematisch die Aufbewahrungsfristen und das System protokolliert Zugriffe auf Personalunterlagen nichtnachvollziehbar. Die Aufsichtsbehörde beanstandet dies, verlangt Abhilfe und das Vertrauen der Beschäftigten leidet. Damit Sie das vermeiden, zeigt dieser Beitrag die zentralen Datenschutzprinzipien für digitale Personalakten im öffentlichen Dienst: Insbesondere klare Aktenführung, kontrollierte Zugriffe, wirksame Löschkonzepte und passende technisch-organisatorische Maßnahmen.
Warum der öffentliche Dienst unter besonderem Compliance-Druck steht
Personalakten im öffentlichen Dienst sind kein gewöhnliches Verwaltungsthema. Sie bewegen sich im Spannungsfeld aus DSGVO, Beamtenstatusgesetz, Landesbeamten‑ und Personalaktenrecht und internen Dienstvereinbarungen. Diese mehrfache Regelungsdichte macht den öffentlichen Dienst zu einem besonders compliance-intensiven Bereich. Und das gilt nicht nur für Landes- und Bundesbehörden, sondern besonders für Kommunen: Städte, Gemeinden und Landkreise verwalten die größten Personalbestände im öffentlichen Dienst, verfügen aber häufig über weniger spezialisierte Datenschutzressourcen.
Der Druck steigt zusätzlich, weil Kommunalverwaltungen unter mehrfacher Beobachtung stehen: Aufsichtsbehörden kontrollieren datenschutzrechtlich, Personalräte nehmen ihre Mitbestimmungsrechte bei der Einführung und Ausgestaltung digitaler Personalakten wahr, Rechnungshöfe prüfen den wirtschaftlichen Mitteleinsatz und die Öffentlichkeit reagiert sensibel auf Datenschutzverstöße. Eine datenschutzrechtliche Beanstandung kann damit schnell zu einem behördenweiten Thema werden und juristische, organisatorische und politische Folgen haben.
Hinweis: Die meisten Compliance-Lücken entstehen nicht, weil einzelne Mitarbeitende sorglos handeln, sondern weil historisch gewachsene Strukturen den heutigen Anforderungen – insbesondere denen der DSGVO und der tariflichen Vorgaben zur Personalakte – nicht mehr genügen. Wer digitale Personalakten einführt oder modernisiert, sollte deshalb vor allem das System, also Prozesse, Zuständigkeiten und technische Umsetzung, gezielt weiterentwickeln.
Datenschutzprinzipien auf Aktenebene: Zweckbindung, Zugriff und Protokollierung
Die DSGVO legt klare Grundsätze für den Umgang mit personenbezogenen Daten in der Personalakte fest. Dazu gehören Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Im Beschäftigungskontext sind – je nach Dienstherr, Arbeitgeber, Statusgruppe und Bundesland – insbesondere Art. 6 DSGVO, ggf. Art. 9 DSGVO bei Gesundheitsdaten, Art. 88 DSGVO als Öffnungsklausel sowie Bundes- bzw. Landesdatenschutzrecht, Beamten- und Personalaktenrecht sowie tarifliche Regelungen zu prüfen.
Zweckbindung: Was gehört in die Akte, was nicht?
Art. 5 Abs. 1lit. b DSGVO verlangt, Daten nur für festgelegte, eindeutige und legitime Zwecke zu verarbeiten. Für die digitale Personalakte im öffentlichen Dienst heißt das: Die Personalstelle nimmt nur solche Unterlagen auf, die sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses oder zur Erfüllung gesetzlicher bzw. tariflicher Pflichten tatsächlich benötigt. Vollständige Krankheitsbilder, private Korrespondenz oder bloße Gesprächsnotizen ohne dokumentierten Dienstbezug dürfen nicht in der Personalakte gespeichert werden. Da Personalakten häufig historisch gewachsen sind, sollte sie die Dienststelle strukturiert prüfen und unzulässige Inhalte konsequent entfernen.
Zugriff: Wer darf Personalakten im öffentlichen Dienst einsehen?
Ausschließlich Personen mit dokumentierter Berechtigung und konkretem dienstlichen Anlass dürfen auf digitale Personalakten zugreifen. Daher ist ein Rollen- und Berechtigungskonzept für digitale Personalakten zwingend notwendig: Personalstellenmitarbeitende und ggf. Vorgesetzte dürfen nur die Daten einsehen, die sie für ihre Aufgaben brauchen. Personalräte, Gleichstellungsbeauftragte und Schwerbehindertenvertretungen erhalten nur dann Einsicht in einzelne Akten, wenn eine konkrete gesetzliche Grundlage dies für die Wahrnehmung ihrer Aufgaben erfordert. Sie haben kein generelles Einsichtsrecht.
Protokollierung: Revisionssicherheit als Sicherheitsnetz
Das System sollte Lese-, Änderungs- und Löschzugriffe risikoadäquat und nachvollziehbar protokollieren: Wer hat wann welches Dokument angesehen, geändert oder gelöscht? Diese Protokolle helfen, Zugriffe zu prüfen und gegenüber der Aufsichtsbehörde geordnet nachzuweisen. Fehlen diese Protokolle, entsteht eine Beweislücke. Auch die Protokolldaten muss die Dienststelle als schutzwürdige personenbezogene Daten behandeln und ebenfalls vor unbefugtem Zugriff schützen.
Lösch- und Aufbewahrungskonzept: Ein praktisches Vorgehensmodell
Aufbewahrungsfristen für Personalakten im öffentlichen Dienst sind komplex. Sie variieren je nach Bundesland, Beschäftigungsverhältnis und Dokumententyp erheblich. Was für verbeamtete Beschäftigte gilt, unterscheidet sich von den Regelungen für Tarifbeschäftigte. Was im Bayerischen Beamtengesetz steht, weicht von den Vorgaben in Nordrhein-Westfalen oder Schleswig-Holstein ab.
Wichtiger Hinweis: Konkrete Aufbewahrungsfristen richten sich nach dem jeweiligen Landesrecht sowie den einschlägigen Beamtengesetzen und Tarifverträgen. Eine individuelle rechtliche Prüfung ist in jedem Fall empfehlenswert. Zudem sind steuer‑ und sozialversicherungsrechtliche Aufbewahrungspflichten (z.B. nach HGB, AO, SGB IV, SGB VII, EStG) zu beachten, die häufig bundesweit gelten.
Was sich jedoch universell etablieren lässt, ist ein strukturiertes Dreischritt-Modell:
- Schritt 1 Klassifizieren: Jedes Dokument erhält beim Eingang eine klare Kategorie, wie z. B. Gesundheitsdaten, Beurteilungen, Vertragsdokumente, Disziplinarische Vorgänge, Urlaubsnachweise etc. Die Kategorie bestimmt die anzuwendende Frist und den Schutzbedarf. Zusätzlich sollte die Dienststellefestlegen, ob das Dokument lohn‑ oder sozialversicherungsrechtlich relevant ist, um die längeren Aufbewahrungspflichten (z.B. bis zu 10 Jahre für lohnrelevante Unterlagen) zu erkennen.
- Schritt 2 Fristen hinterlegen: Im digitalen System werden Aufbewahrungsfristen automatisch mit dem jeweiligen Dokument verknüpft. Dadurch ist keine manuelle Prüfung einzelner Dokumente mehrnotwendig, da das System an Löschungen erinnert. Daher sollte es sollte neben der Aufbewahrungsfrist auch Wiedervorlage-bzw. Prüftermine speichern, um vor endgültiger Löschung eine fachliche Kontrolle zu ermöglichen.
- Schritt 3 Automatisiert prüfen und handeln: Das System weist rechtzeitig auf ablaufende Fristen hin. Löschungen werden dokumentiert und sind damit selbst revisionssicher nachweisbar. Wo eine vollständige Löschung noch nichtzulässig ist, kann eine Sperrung oder Einschränkung der Verarbeitung den datenschutzrechtlichen Anforderungen genügen.
Ein strukturiertes Löschkonzept reduziert das Risiko des Vergessens deutlich, kann es aber nicht vollständig ausschließen. Entscheidend ist das Zusammenspiel aus klaren Prozessen, geschultem Personal und einem technisch unterstützten Fristenmanagement.
Technische und organisatorische Maßnahmen (TOM) in HR-Workflows
Art. 32 DSGVO verpflichtet Verantwortliche, geeignete technische und organisatorische Maßnahmen umzusetzen, um personenbezogene Daten wirksam zu schützen. Für digitale Personalakten in Kommunalverwaltungen heißt das: Die Dienststelle definiert klare Sicherheitsstandards und bildet diese in ihren HR-Workflows ab:
- Verschlüsselung und Speicherkonzepte: Die Dienststelle verschlüsselt sensible Personaldaten im Speicher und bei der Übertragung. Sie vermeidet unverschlüsselte Ablagen auf lokalen Laufwerken oder in unsicheren Speicherorten, weil diese ein erhöhtes Risiko für Datenschutzverletzungen darstellen. Personalakten gehören in ein sicheres, zentrales System, das verschlüsselt speichert und Zugriffe protokolliert.
- Zugriffsbeschränkung und Authentifizierung: Zugänge zum System erfolgen über individuelle Nutzerkonten mit starker Authentifizierung (z.B. Zwei-Faktor-Authentifizierung). Geteilte Passwörter oder Sammelaccounts darf die Personalstelle nicht nutzen, weil sie Verantwortlichkeiten verschleiern und eine nachvollziehbare Protokollierung verhindern. Ein Berechtigungskonzept stellt sicher, dass nur die jeweils zuständigen Personen Einblick in bestimmte Aktenbereiche erhalten (Need-to-know-Prinzip).
- Mandantentrennung und organisatorische Trennung: Nutzen mehrere Ämter oder Verwaltungseinheiten dasselbe System, richtet die IT eine saubere Mandantentrennung ein. Die Konfiguration sorgt dafür, dass Mitarbeitende nur die Personalakten ihrer eigenen Organisationseinheit sehen und bearbeiten können. So verhindert die Verwaltung unzulässige Datenvermischung zwischen Personalstellen unterschiedlicher Ämter.
- Zentrale, revisionsfreundliche Ablage: Die Personalstelle legt Dokumente grundsätzlich im zentralen Verzeichnis ab. E-Mails mit personenbezogenen Daten, PDF-Dokumente oder Scans wandern aus Postfächern und lokalen Ordnern in die elektronische Personalakte. Das System protokolliert Zugriffe, Änderungen und Löschungen so, dass sich spätere Prüfungen und Nachvollziehbarkeiten sicherstellen lassen.
- Schulungen als Pflichtbestandteil der TOM: Schulungen sind ein zentraler Bestandteil der organisatorischen Maßnahmen. Alle Personen mit Zugriff auf Personalakten nehmen regelmäßig an Datenschutz- und Systemsicherheitsschulungen teil. Die Dienststelle dokumentiert Inhalte, Termine und Teilnehmende, um ihre Organisations- und Rechenschaftspflichten zu erfüllen.
- Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO: Die Verwaltung führt ein Verzeichnis von Verarbeitungstätigkeiten, in dem sie das Führen digitaler Personalaktengesondert beschreibt. Die verantwortliche Stelle hält das Verzeichnis aktuell und kann es auf Anforderung der Aufsichtsbehörde jederzeit vorlegen. Das Verzeichnis muss:
- die Zwecke der Verarbeitung (z.B. Begründung, Durchführung und Beendigung von Beschäftigungsverhältnissen),
- die Kategorien von Daten und betroffenen Personen,
- die Empfänger:innen,
- die geplanten Löschfristen und
- die wesentlichen technischen und organisatorischen Maßnahmen enthalten.
Häufig gestellte Fragen
Wie lange müssen Personalakten im öffentlichen Dienst aufbewahrt werden?
Die Aufbewahrungsfristen hängen vom Bundesland, vom Status (Beamte oder Tarifbeschäftigte) und vom Dokumententyp ab. Maßgeblich sind das jeweilige Landespersonalaktenrecht, für Beamte das Beamtenstatusgesetz und die entsprechenden Landesregelungen, für Tarifbeschäftigte u.a. Regelungen in TVöD/TV‑L sowie zahlreiche Spezialvorschriften (z.B. NachweisG, sozialversicherungs- und steuerrechtliche Vorschriften). Zusätzlich regeln interne Aufbewahrungs- und Registraturrichtlinien Fristen und Zuständigkeiten. Die Dienststelle muss die einschlägigen Normen im Einzelfall prüfen und ein klares Lösch- und Aufbewahrungskonzept umsetzen.
Was sind typische Datenschutzverstöße bei Personalakten im ÖD?
Häufig sind fehlende oder veraltete Lösch- und Aufbewahrungskonzepte, unklare oder zu weitgefasste Zugriffsrechte, nicht oder nur lückenhaft protokollierte Zugriffe, weiterhin gespeicherte Dokumente mit abgelaufenen Fristen, ein unvollständiges oder nicht gepflegtes Verzeichnis der Verarbeitungstätigkeiten sowie Verstöße gegen die Grundsätze der Richtigkeit, Vollständigkeit und Vertraulichkeit der Personalakten.
Wer trägt bei einer Datenschutzprüfung die Verantwortung?
Datenschutzrechtlich verantwortlich ist die Behörde. Sie muss die Verarbeitung rechtmäßig gestalten, nachweisen und gegenüber der Aufsichtsbehörde vertreten. HR, IT und Fachbereiche setzen die Vorgaben operativ um und arbeiten eng mit dem:der behördlichen Datenschutzbeauftragten zusammen, der:die berät und kontrolliert, aber nicht selbst Verantwortliche:r ist.
Ist eine digitale Personalakte automatisch DSGVO-konform?
Nein. Eine digitale Personalakte ist nur dann datenschutzkonform, wenn die Dienststelle klare Rechtsgrundlagen nutzt, ein Rollen- und Berechtigungskonzept umsetzt, technische und organisatorische Maßnahmen dokumentiert, Prozesse für Einsicht, Berichtigung und Löschung festlegt und die Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten beschreibt. Ohne diese Elemente bleibt sie im Kern ein digitales Archiv mit den gleichen Risiken wie eine Papierakte.
Anja Merklin-Wendle schreibt als Online-Redakteurin in der Haufe Group Fachbeiträge zu den Themenfeldern HR-Digitalisierung, Onboarding, Management und Unternehmensführung. Gerne entwickelt die Betriebswirtin Angebote für HR-Fachkräfte, Unternehmer:innen, und Selbstständige und ist Mitautorin des Fachbuchs "Crashkurs Mitarbeiter-Onboarding".
