Personenbezogene Daten in der Personalakte

DSGVO-Anforderungen für Personalakten: Was HR-Abteilungen wissen müssen

Zwei Grundsätze aus Art. 5 DSGVO sind für HR-Verantwortliche in diesem Kontext besonders relevant: Datenminimierung und Speicherbegrenzung.

Das Recht auf Löschung als Anspruch der Person um deren Daten es geht, ist in Art. 17 DSGVO verankert. Für den Beschäftigungskontext kommt § 26 BDSG als spezifische Rechtsgrundlage hinzu. Wer personenbezogene Daten von Mitarbeitenden verarbeitet, bewegt sich also in einem vergleichsweise klar geregelten Rahmen, auch wenn sich dieser Rahmen in der Praxis komplizierter anfühlt, als er auf dem Papier aussieht.

‍

Der Lebenszyklus einer Personalakte kann in vier Abschnitte aufgeteilt werden:

1. Die Erhebung der Daten. Sie startet mit dem Einstieg der Mitarbeitenden, wenn die Bewerbungsunterlagen in die Personalakte übergehen und das Stammblatt angelegt wird. Hier beginnt die Verarbeitung der Daten.
   ‍
2. Die Durchführung: Um ein Arbeitsverhältnis durchzuführen, braucht es eine Vielzahl an personenbezogenen Daten. Das Gehalt muss an die richtige Bank, die Kleidergröße braucht man für’s Firmenlaufshirt, die private Anschrift, falls mal etwas passieren sollte. Das und vieles mehr sind die Zwecke, für die personenbezogene Daten der Mitarbeitenden verarbeitet werden.
   ‍
3. Die Aufbewahrung: Das Arbeitsverhältnis ist beendet. Alle oben genannten Zwecke sind erfüllt oder können nicht mehr erfüllt werden. Der neue Zweck ist die Aufbewahrung. Entweder aufgrund gesetzlicher Pflichten oder aufgrund eigener Zwecke des Arbeitgebers.
   ‍
4. Die Löschung: Alle Zwecke sind erfüllt, auch die Aufbewahrung. Es gibt keinen gesetzlichen oder anderen legitimen Grund, die personenbezogenen Daten aufzubewahren. Sie werden datenschutzkonform entsorgt und gelöscht.

Herausforderungen beider Datenstruktur von Personalakten: So lösen Sie sie DSGVO-konform

Eine Personalakte ist kein einheitlicher Datensatz. Sie enthält Bewerbungsunterlagen, Arbeitsverträge, Gehaltsabrechnungen, Krankmeldungen, Fortbildungsnachweise, Abmahnungen, Zeugnisse und je nach Branche noch deutlich mehr. Jede dieser Kategorien hat eine eigene rechtliche Logik, manche eigene Aufbewahrungspflichten und damit auch einen eigenen Löschzeitpunkt.

Das führt zu einer Frage, die ich in der Beratungspraxis regelmäßig gehört habe: Wann darf ich was löschen – und wann muss ich es sogar?

Aufbewahrungsfristen für Personalakten: Gesetzliche Vorgaben einfach erklärt

Bevor ein Löschkonzept entwickelt werden kann, müssen die gesetzlichen Aufbewahrungsfristen bekannt sein. Diese kommen aus unterschiedlichen Rechtsquellen und sie haben Vorrang vor dem Löschgebot der DSGVO.

Einige Beispiele:

• Lohnunterlagen und Gehaltsabrechnungen: 6 Jahre nach HGB, 10 Jahre nach AO – je nach steuerlicher Relevanz
• Arbeitszeugnisse und Vertragsunterlagen: Orientierung an zivilrechtlichen Verjährungsfristen, häufig 3 Jahre nach § 195 BGB
• Bewerbungsunterlagen: Bei abgelehnten Bewerberinnen und Bewerbern in der Regel 6 Monate nach Absage, zum Schutz vor AGG-Klag
‍

Auch geldwerte Leistungen wie die betriebliche Altersvorsorge können lange Aufbewahrungsfristen begründen, weil Ansprüche der Mitarbeitenden noch Jahrzehnte nach dem Austritt entstehen oder geltend gemacht werden können.

‍

Ausnahmen, die auf den ersten Blick überraschen

Ein Beispiel aus einer Nische, das das Thema gut illustriert: Gesundheitsdaten von Mitarbeitenden in der Strahlenmedizin, z. B. Röntgen oder Onkologie. Hier schreibt die Strahlenschutzverordnung (StrlSchV) Aufbewahrungsfristen vor, die in Jahrzehnten gemessen werden. Ganz konkret bis zum 75. Lebensjahr der betroffenen Person, mindestens aber 30 Jahre nach Ende der Exposition. Das ist kein Ausreißer, sondern ein Hinweis darauf, wie stark die Fristen je nach Branche und Datenkategorie variieren können.

Personalakten und DSGVO: Was tun ohne gesetzliche Aufbewahrungsfristen?

‍

Hier kommt das datenschutzrechtliche Grundprinzip zurück ins Spiel: Daten dürfen so lange verarbeitet und damit auch gespeichert werden, wie ein legitimer Zweck besteht und dieser durch eine Rechtsgrundlage gedeckt ist. Endet der ursprüngliche Zweck, kann unter Umständen ein neuer Zweck die weitere Speicherung rechtfertigen. Das kann die Aufbewahrung aufgrund gesetzlicher oder vertraglicher Verpflichtung sein oder zur Verfolgung eigener - legitimer! - Interessen des Arbeitgebers.

‍

Praxisbeispiel:

Ein Mitarbeiter wird entlassen. Die Daten werden zur Fortsetzung des Arbeitsverhältnisses nicht mehr benötigt. Aber möglicherweise zur Verteidigung gegen eine Kündigungsschutzklage. In diesem Fall greift Art. 6 Abs. 1 lit. f DSGVO – das berechtigte Interesse an der Durchsetzung eigener rechtlicher Interessen. Die Speicherung ist solange gerechtfertigt, wie das Verfahren läuft oder eine Klage noch möglich ist.

Abseits solcher Extremfälle wie oben geschildert gilt: Wenn noch Ansprüche der Mitarbeitenden denkbar sind, können Daten bis zum Ablauf der Verjährungsfrist aufbewahrt werden. Die reguläre zivilrechtliche Verjährungsfrist beträgt nach § 195 BGB drei Jahre beginnend mit dem Ende des Jahres, in dem der Anspruch entstanden ist. Gibt es nach Ablauf dieser Frist keine Gründe die Daten weiter zu speichern, muss gelöscht werden.

Löschkonzept für Personalakten: Schritt-für-Schritt zur DSGVO-Konformität

Ein Löschkonzept muss kein hundert Seiten starkes Dokument sein. Es muss vor allem eines sein: verständlich und anwendbar. Hier ist ein pragmatischer Einstieg:

1. Datenkategorien erfassen
   Welche Arten von Daten enthält die Personalakte überhaupt? Vertragsunterlagen, Gehaltsabrechnungen, Krankmeldungen, Abmahnungen, Fortbildungsnachweise, Korrespondenz. Dazu wird jede Kategorie einzeln betrachtet.
   ‍
   
2. Fristen zuordnen
   Für jede Kategorie wird geprüft: Gibt es eine gesetzliche Aufbewahrungsfrist? Wenn ja, welche? Wenn nein, welcher Zweck besteht noch und wie lange? Ein nützlicher Ausgangspunkt für diese Arbeit: Der Aktenvernichtungsdienstleister Reißwolf bietet eine frei zugängliche Tabelle mit Datenkategorien und Speicherfristen. Auch das Haufe Personaloffice enthält entsprechende Orientierungshilfen. Diese Ressourcen ersetzen keine rechtliche Prüfung im Einzelfall, sind aber ein solider erster Schritt.
   ‍
3. Kategorien nach Löschzeitpunkt gruppieren
   Was kann nach 6 Monaten weg? Was nach 3 Jahren? Was nach 10? Eine strukturierte Übersicht schafft Klarheit. Das macht das Thema im Alltag handhabbar.
   ‍
4. Jährlicher Check
   Am Ende eines jeden Jahres wird die Liste durchgegangen: Welche Fristen sind abgelaufen? Was kann und muss jetzt gelöscht werden? Dieser Rhythmus verhindert, dass Daten still und leise jahrelang gespeichert bleiben, ohne dass es jemand bemerkt.
   ‍
5. Digitale und physische Akten gleich behandeln
   Löschkonzepte scheitern häufig daran, dass nur die digitale Akte berücksichtigt wird während in lokalen Laufwerken, E-Mail-Ordnern oder physischen Ablagesystemen weiterhin Daten schlummern. Ein vollständiges Konzept deckt beide Welten ab.
   ‍
6. Mitarbeitende mitnehmen
   Wird ein Löschprozess erstmalig eingeführt, lohnt es sich, Mitarbeitende frühzeitig zu informieren – transparent, sachlich und mit klarem Bezug auf die rechtliche Grundlage. Das reduziert Unsicherheiten und schafft Vertrauen in den Prozess.
   

Warum das Löschkonzept nicht nur eine Compliance-Pflicht ist

Regelmäßig wird das Thema Löschen als lästige Pflicht wahrgenommen. Aber es lohnt sich, es anders zu betrachten. Wer keine strukturierten Löschprozesse hat, riskiert Bußgelder nach Art. 83 DSGVO und ist im Fall von Auskunfts- oder Löschanfragen Betroffener kaum handlungsfähig. Kommt es zu einer Datenpanne, sind im schlimmsten Fall mehr Daten exponiert als je notwendig gewesen wären.

Abseits der rechtlichen Risiken gilt: Wer seinen Keller oder seinen digitalen Speicher einmal gründlich aufräumt, weiß danach, was er hat. Das schafft Übersicht, reduziert Kosten und es gibt schlicht ein gutes Gefühl. Ordnung im Datenbestand ist Ordnung im Unternehmen.

Effektives Löschkonzept für Personalakten: Kontrolle und Compliance sicherstellen

Die Personalakte ist ein datenschutzrechtlich hochkomplexes Feld, mit denen HR-Verantwortliche täglich arbeiten. Unterschiedliche Datenkategorien, unterschiedliche Fristen, unterschiedliche Rechtsgrundlagen. Das ist keine einfache Materie.

Aber sie ist lösbar. Mit einer strukturierten Kategorisierung, einem realistischen Prozess und dem richtigen Sparringspartner. Wenn Sie dieses Thema in Ihrer Organisation noch nicht angegangen haben: Sprechen Sie mit Ihrem Datenschutzbeauftragten. Es könnte sich lohnen, rechtlich und organisatorisch.

‍

Mehr Informationen rund um digitale Personalakten finden Sie hier: https://www.haufe.de/hr/digitale-personalakte