Datenschutz Personalakte

So erfüllen Sie einfach alle Anforderungen der DSGVO

In der Personalakte werden alle Unterlagen gesammelt, die Arbeitgeber*innen für das Beschäftigungsverhältnis ihrer Mitarbeitenden aufbewahren müssen. Darunter fallen persönliche Dokumente mit sensiblen Informationen, wie z. B. Gehaltsnachweise oder Arbeitszeugnisse. Alle in der Personalakte gespeicherten personenbezogenen Daten müssen dabei gemäß den Anforderungen der DSGVO für den Datenschutz von Personalakten verarbeitet werden.

Die Datenschutzgrundverordnung schafft einen Rahmen dafür, dass der Umgang mit Mitarbeiterdaten verantwortungsvoll und in zulässigem Maß erfolgt. Wir geben Ihnen in diesem Blogbeitrag einen Überblick darüber, welche Anforderungen an den Datenschutz von Personalakten nach DSGVO gestellt werden:

  • Inwiefern sind Personalakten vom Datenschutz betroffen?
  • Welche Grundsätze liegen zur Verarbeitung von Mitarbeiterdaten vor?
  • Was sind technische und organisatorische Maßnahmen zum Schutz von Personalakten?
  • Was gehört in die Personalakte und was gehört nicht in die Personalakte?
  • Wie ist das Recht auf Einsicht in die Personalakte geregelt?
  • Welche Aufbewahrungsfristen gelten für Personalakten nach DSGVO?
Inhalt
Definition: Was ist eine Personalakte?

Was ist eine Personalakte?

Datenschutz-Grundsaetze und TOMs fuer Personalakten

Datenschutzgrundsätze und TOMs

Inhalt und Aufbau von Personalakten

Was gehört in die Personalakte und was nicht?

Einsicht in die Personalakte

Einsicht in die Personalakte

Aufbewahrungs- und Loeschfristen von Personalakten

Aufbewahrungs- und Löschpflichten

Abschnitt 1

Was ist eine Personalakte?

Definition: Was ist eine Personalakte?

In einer Personalakte werden alle Unterlagen, die im Zusammenhang mit dem Arbeitsverhältnis eines/einer Mitarbeiter*in stehen, gebündelt an einem Ort gesammelt. Personalakten sollen dabei ein möglichst vollständiges und wahrheitsgemäßes Bild der Mitarbeiterinformationen widerspiegeln. Daher werden in der Personalakte personenbezogene Daten, darunter auch besonders schützenswerte Daten, verarbeitet.

Die Speicherung von Mitarbeiterdaten ist unter anderem für die steuerrechtliche Einordnung oder die Lohnauszahlung erforderlich. Aufgrund der Datenverarbeitung gelten entsprechende arbeits- sowie datenschutzrechtliche Anforderungen an Personalakten, die allen Mitarbeitenden im Personalwesen bekannt sein müssen.

Das Führen von Personalakten ist für Arbeitgeber*innen gesetzlich nicht geregelt. Damit liegt es im Ermessen eines Unternehmens zu entscheiden, wie Mitarbeiterdaten gespeichert werden sollen. Eine Ausnahme bildet die Arbeit im öffentlichen Dienst: Hier ist das Führen einer Personalakte gesetzlich vorgeschrieben. Dennoch gibt es kaum Betriebe, die gänzlich auf Personalakten verzichten. Schließlich werden ab dem Zeitpunkt der Bewerbung über die Einstellung und das Arbeitsverhältnis bis zum Austritt aus dem Unternehmen relevante Beschäftigtendaten verarbeitet.

Datenschutzbestimmungen für Personalakten

Nach Art. 13 DSGVO sind Arbeitgeber*innen dazu verpflichtet, Mitarbeitende transparent, verständlich und vollständig über den Umgang mit ihren Daten zu informieren. Die Informationspflichten der DSGVO sorgen dafür, dass Betroffene darüber aufgeklärt werden, wie personenbezogene Daten im Einzelfall verarbeitet werden und welche Rechte den Betroffenen zustehen. Eine weitere Grundvoraussetzung für die rechtskonforme Datenverarbeitung stellen Art. 9 DSGVO und § 26 BDSG auf: Die Verarbeitung darf nur auf Basis eines zulässigen Zwecks stattfinden. Solch einen Zweck stellt beispielsweise die Gewährleistung der Lohnabrechnung dar. Art. 32 DSGVO fordert zudem „geeignete technische und organisatorische Maßnahmen (zu treffen), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ und somit Datenpannen vorzubeugen. Diese präventiven Schutzmaßnahmen werden in den TOMs jedes Unternehmens festgelegt.

Prozesse in der Personalabteilung DSGVO-konform gestalten
Bewerbungsverfahren, Recruiting, Personalakten und Co: Schulen Sie Ihr Team rechtssicher und praxisorientiert mit VINYAs E-Learning-Kurs zum Datenschutz in der Personalabteilung.
E-Learning-Kurs Datenschutz Marketing Vertrieb
Abschnitt 2

Grundsätze zum Datenschutz von Personalakten

Datenschutz-Grundsaetze und TOMs fuer Personalakten

Um den Datenschutz von Personalakten zu gewährleisten, gilt es die 4 Grundsätze der Personalaktenführung sowie die technischen und organisatorischen Maßnahmen zum Schutz von Personalakten umzusetzen. Welche das sind, erfahren Sie hier:

Personalakten sind grundsätzlich vertraulich zu behandeln. Dazu ist es notwendig, die Akten so zu verwahren, dass keine unbefugten Personen Zugang zu den Dokumenten erhalten. Berechtigte Personen sind dazu angehalten, Gespräche über Inhalte aus Personalakten nur in einer sicheren Umgebung zu führen. Der Kreis der zugriffsbefugten Personen sollte außerdem auf ein nötiges Minimum begrenzt werden. Darüber hinaus sind die Akten auch durch technische Maßnahmen zu schützen. Zum Beispiel sollten besonders schützenswerte Daten wie Gesundheitsdaten getrennt von der Personalakte aufbewahrt oder in einem separaten verschlossenen Umschlag in der Personalakte geführt werden.

Die Unterlagen einer Personalakte müssen eine objektive und richtige Einschätzung der betroffenen Person wiedergeben. Da es keine gesetzliche Grundlage zum Inhalt von Personalakten in der Privatwirtschaft gibt, liegt diese im Ermessen der Unternehmen. Ein wichtiges Kriterium ist jedoch, dass alle Beschäftigten gleichbehandelt werden müssen und es nicht zu Benachteiligungen oder Bevorzugungen aufgrund der Datenspeicherung kommt. Um den Grundsatz der Richtigkeit zu erfüllen, müssen fehlerhafte Daten unverzüglich korrigiert werden. Auch Mitarbeitende selbst können eine Korrektur verlangen. Sofern Sachverhalte nicht einfach geklärt werden können, bedarf es einer Gegenüberstellung, die ebenfalls in der Personalakte dokumentiert werden muss.

Welche Daten Arbeitgeber*innen verarbeiten, ergibt sich vor allem aus den arbeits-, sozial-, steuer- und handelsrechtlichen Anforderungen. Dabei haben Arbeitgeber*innen in jedem Fall sicherzustellen, dass die Datenverarbeitung für die Durchführung des Arbeitsverhältnisses auch wirklich notwendig ist. Der Zweck der Verarbeitung muss klar formuliert und in einem Verarbeitungsverzeichnis dokumentiert werden. Schwammige Angaben, wie beispielsweise „IT-Sicherheit“, sind als Grund für die Datenverarbeitung nach den Anforderungen der DSGVO unzureichend.

Das Transparenzgebot regelt das Recht auf Einsicht in die Personalakte für unterschiedliche Personengruppen wie Mitarbeitende, Vorgesetzte und Betriebsrat. Die Möglichkeit zur Einsicht ist Teil der Schutzrechte eines jeden Beschäftigungsverhältnisses. Unternehmen sind dazu verpflichtet, Mitarbeitenden eine vollständige Einsicht in die in gespeicherten Beschäftigtendaten in der Personalakte zu gewähren. Daher ist es Arbeitgeber*innen nicht erlaubt, Teile der Unterlagen an einem anderen Ort abzulegen oder zu speichern. Das Führen zusätzlicher Nebenakten ist erlaubt, sofern in der Hauptakte auf diese verwiesen wird (Personalaktenverzeichnis). Diese Maßnahme kann notwendig sein, um die Vertraulichkeit zu gewährleisten und bestimmte Daten besonders zu schützen.

Technische und organisatorische Maßnahmen zum Schutz der Personalakte

Neben der Einhaltung der Grundsätze zum Datenschutz von Personalakten müssen die folgenden technischen und organisatorischen Maßnahmen beachtet werden: 

Personalakten müssen in einem verschließbaren Raum gelagert werden, zu dem nur befugte Mitarbeitende Zutritt haben.

Zusätzlich zur räumlichen Regelung muss sichergestellt werden, dass nur Befugte tatsächlichen Zugang zu den Personalakten erlangen können. Es empfiehlt sich daher, Akten in einem verschlossenen Schrank zu lagern.

Wichtig ist auch, dass klar kontrolliert wird, wer auf welche Daten innerhalb der Personalakte zugreifen darf. Dokumente sollten nur eingesehen werden können, wenn diese in den Zuständigkeitsbereich der Person fallen.

Die Weitergabe von Daten aus der Personalakte wird dadurch verhindert, dass Mitarbeitende ihre Personalakten zwar einsehen, aber nicht mitnehmen dürfen. Personalakten müssen in den Händen der Personalabteilung bleiben und dürfen nicht unbeaufsichtigt herausgegeben werden.

Änderungen und Ergänzungen der Personalakte müssen im Hinblick auf die Nachvollziehbarkeit dokumentiert werden. Insbesondere das Löschen von Daten bzw. Entfernen von Dokumenten ist zu protokollieren.

Sofern Dienstleistungsunternehmen in die Datenverarbeitung eingebunden werden (z. B. bei digitalen Personalakten), ist der Umfang der Verarbeitung vertraglich und DSGVO-konform festzuhalten.

Personalakten müssen so gelagert werden, dass sie gegen Zerstörung oder Verlust geschützt sind. Dazu gehören unter anderem Brandschutzmaßnahmen und der Schutz vor Diebstahl.

Abschnitt 3

Aufbau und Inhalt von Personalakten

Inhalt und Aufbau von Personalakten

Solange die in der Personalakte gespeicherten Daten unmittelbar mit dem Arbeitsverhältnis im Zusammenhang stehen, können Arbeitgeber*innen die Struktur weitestgehend frei gestalten. Zu beachten ist dabei, dass die Persönlichkeitsrechte der Mitarbeitenden nicht verletzt werden. Anforderungen an eine Mindestdokumentation ergeben sich aus dem Steuer- und Sozialversicherungsrecht.

Für einen übersichtlichen Aufbau einer Personalakte bietet sich z. B. folgende Struktur an:

  1. Einstellung & Bewerbungsverfahren
  2. Amtliche Urkunden
  3. Vergütung & Gehalt
  4. Beurteilungen
  5. Weiterbildung
  6. Sonstiges

Was gehört in die Personalakte?

Datenschutz Personalakte: Was gehoert in die Personalakte?

Was gehört nicht in die Personalakte?

Während es keine rechtlichen Bestimmungen dazu gibt, was in einer Personalakte aufgenommen werden muss, legt der Beschäftigtendatenschutz genau fest, welche Daten nicht erhoben und gespeichert werden dürfen. Generell gilt, dass keine Dokumente oder Informationen, welche die Persönlichkeitsrechte von Mitarbeitenden berühren, erhoben oder gespeichert werden dürfen. Darüber hinaus ist es verboten, Daten ohne Kenntnis der Mitarbeitenden zu speichern.

Zu den Informationen, die nicht in die Personalakte gehören, zählen daher:

Datenschutz Personalakte: Diese Inhalte sind tabu
Abschnitt 4

Einsicht in die Personalakte

Einsicht in die Personalakte

Das Recht auf Einsicht in die Personalakte ist gesetzlich bestimmt (§ 83 Abs. 1 BetrVG). Oberste Priorität ist dabei der Schutz von Beschäftigtendaten vor Personen, die keine Befugnis zur Einsicht haben.

Nur die Beschäftigten selbst haben ein Recht darauf, jederzeit und ohne Angabe von Gründen die vollständige Einsicht in die eigene Personalakte zu verlangen. Bei Bedarf und Existenz eines Betriebsrats können Mitarbeitende ein Mitglied des Rats für die Akteneinsicht hinzubitten. Das Betriebsratsmitglied ist dabei zur Verschwiegenheit verpflichtet.

Hingegen besteht kein Anspruch darauf, dass Beschäftigten ihre Personalakte für einen bestimmten Zeitraum überlassen wird. Auf Forderungen dieser Art sollten Unternehmen nicht eingehen, da durch die Herausgabe Unterlagen entwendet werden können. Arbeitnehmer*innen haben allerdings das Recht dazu, Kopien anzufertigen.

Nur die wenigsten Angestellten üben ihr Recht auf Einsicht in die Personalakte aus. Eine Einsicht ist aber in regelmäßigen Abständen zu empfehlen. Denn Arbeitgeber*innen sind nicht dazu verpflichtet, Mitarbeitende darüber zu informieren, wenn der Personalakte Dokumente hinzugefügt werden.

Weitere Rechte von Beschäftigten sind:

  • Anfertigung von Notizen zu Bestandteilen der Personalakte
  • Einsicht in die Personalakte auch nach Beendigung des Arbeitsverhältnisses
  • Korrektur oder Löschung von unrichtigen objektiven Angaben
  • Änderung oder Löschung von Behauptungen, die nicht der Wahrheit entsprechen

Wer darf Einsicht in die Personalakte nehmen?

Neben den Beschäftigten und Personaler*innen verfügen weitere Beteiligte über begrenzte Rechte zur Einsicht in die Personalakte. Diese sind: Führungskräfte, Betriebsräte, Datenschutzbeauftragte und Anwälte, denen ein Mandat vorliegt.

Einsicht durch Führungskraft:
Eine Führungskraft darf nur zur Erfüllung ihrer Führungsaufgaben Einsicht in die Personalakte von Mitarbeitenden nehmen. Damit ist die uneingeschränkte Einsichtnahme gesetzlich klar untersagt. Wenn Vorgesetzte in die vollständige Personalakte Einsicht erhalten möchten, bedarf es der Einwilligung des/der betroffenen Mitarbeiter*in. Erlaubt ist es Führungskräften z. B., die Qualifikationen oder Beurteilungen durch frühere Vorgesetzte einzusehen, um über Weiterbildungsmaßnahmen zu entscheiden.

Welche Daten von Vorgesetzen eingesehen werden dürfen und welche nicht, haben wir für Sie übersichtlich zusammengefasst:

Einsicht Personalakte durch Vorgesetzte: Was erlaubt und was verboten ist

Einsicht durch Betriebsrat:
Dem Betriebsrat steht keine uneingeschränkte Einsicht in Personalakten zu. Ein Mitglied des Betriebsrats kann von Beschäftigten bei der Einsicht auf Wunsch hinzugezogen werden, unterliegt dabei aber der Verschwiegenheit. Informationen aus Personalakten darf der Betriebsrat unter Umständen im Rahmen seiner Informationsrechte und zur Wahrnehmung seiner Aufgaben erhalten. Mitglieder des Betriebsrats dürfen dabei jedoch selbst keine Einsicht in die Akte vornehmen. Stattdessen sind Arbeitgeber*innen dazu verpflichtet, dem Rat entsprechende Daten, wie z. B. Bruttogehälter, zur Verfügung zu stellen.

Einsicht durch Datenschutzbeauftragte:
Datenschutzbeauftragte sind dafür verantwortlich, die Umsetzung des Datenschutzes nach DSGVO in allen Bereichen zu prüfen. Damit gehört es auch zu ihrem Zuständigkeitsbereich, die Einhaltung der Datenschutzvorschriften bei Personalakten zu kontrollieren. Es ist empfehlenswert, eine Einsicht durch Datenschutzbeauftragte nur auf Anweisung der Geschäftsführung oder in Gegenwart des/der Betroffenen vorzunehmen, um datenschutzrechtliche Konflikte zu vermeiden.

DSGVO verständlich und praxisbezogen für alle Mitarbeitenden erklärt
Sorgen Sie mit VINYAs Online-Schulungen für transparente Richtlinien zum Datenschutz.
Hier gehts zu unseren E-Learning-Kursen:
Abschnitt 5

Aufbewahrungsfristen und Löschfristen von Personalakten nach DSGVO

Aufbewahrungs- und Loeschfristen von Personalakten

Die Aufbewahrungspflichten von Personalakten variieren je nach gespeicherter Information. In einigen Fällen sind Arbeitgeber*innen grundsätzlich dazu verpflichtet, Unterlagen aufzubewahren. Die Grundlage dafür bilden die steuerrechtlichen und sozialversicherungsrechtlichen Aufbewahrungspflichten.

Nach dem Einkommenssteuergesetz müssen Unterlagen, die für die Besteuerung (Lohnsteuer, Sozialversicherungen, Solidaritätszuschlag und Kirchensteuer) notwendig sind, 6 Jahre lang aufgehoben werden, um eine ordnungsgemäße Berechnung nachweisen zu können. Unterlagen, die für die Gewinnermittlung eines Betriebs benötigt werden, unterliegen sogar einer verpflichtenden Aufbewahrungsfrist von 10 Jahren. Für Beitragsabrechnungen der Sozialversicherung gilt eine fünfjährige Aufbewahrungspflicht. Rentenversicherungsträger können Ansprüche sogar bis zu 30 Jahre lang geltend machen, weshalb eine entsprechende Aufbewahrung zu empfehlen ist.

Darüber hinaus haben Mitarbeitende die Möglichkeit, bis zu 3 Jahre nach Beendigung ihres Angestelltenverhältnisses Schadensersatzansprüche, z. B. auf nicht genommenen Urlaub zu stellen. Generell gilt, dass die Speicherung von Daten nur so lange erfolgen darf, wie es der Verarbeitungszweck vorgibt.
Diese Aufbewahrungsfristen gelten also für gespeicherte Daten in der Personalakte:

Zweck der Datenerfassung Aufbewahrungsfrist
Beitragsabrechnung der Kranken- und Pflegeversicherung, der Rentenversicherung sowie Arbeitsförderung an die Bundesagentur für Arbeit (§ 28 f I 1, 2 SGB IV)
Nach Ablauf des folgenden Kalenderjahres der letzten Prüfung
Arbeitsvertrag
3 Jahre ab Beginn des folgenden Jahres nach Kündigung (empfohlen)
Akten nach dem Arbeitszeitgesetz
2 Jahre
Akten nach dem Jugendarbeitsschutzgesetz
2 Jahre
Akten nach dem Mutterschutzgesetz
2 Jahre
Lohnabrechnung und Lohnsteuerabzug
6 Jahre
Lohnlisten und Lohnsteuerunterlagen
10 Jahre
Rentenversicherung
30 Jahre (empfohlen)

Löschpflichten gemäß DSGVO bei Personalakten

Arbeitgeber*innen müssen Beschäftigtendaten nach Ablauf der vorgeschriebenen Aufbewahrungsfrist löschen, da der Zweck einer Verarbeitung ab diesem Zeitpunkt entfällt. Sonstige Daten, für die keine besonderen Aufbewahrungsfristen gelten, sind sofort mit Beendigung des Arbeitsverhältnisses zu löschen. Dabei gilt es zu beachten, dass bereits während des laufenden Arbeitsverhältnisses nicht mehr benötigte Unterlagen regelmäßig gelöscht werden müssen. Generell folgen die Löschpflichten bei Personalakten den DSGVO-Grundprinzipien der Datensparsamkeit und Datenminimierung sowie dem Recht auf Vergessen.

Abschnitt 6

Fazit

In Personalakten werden mitunter sehr persönliche Daten von Mitarbeitenden gespeichert. Daher ist ein entsprechender Datenschutz von Personalakten besonders wichtig. Die Regelungen der DSGVO sorgen dafür, dass ein verantwortungsvoller Umgang mit den Daten von Beschäftigten stattfindet.

Um einen DSGVO-konformen Datenschutz Ihrer Personalakten zu gewährleisten, sollten Sie darauf achten, dass diese Rahmenbedingungen geklärt sind:

Hinweis: Unsere Autoren und Autorinnen arbeiten mit größter Sorgfalt an den Inhalten dieser Website und des Magazins. Die gewissenhafte Recherche ist dabei selbstverständlich. Dennoch übernehmen wir (sowohl interne als auch externe Autoren und Autorinnen) keine Haftung für die Aktualität, Richtigkeit oder Vollständigkeit der hier dargestellten Inhalte. Die Inhalte stellen keine Rechtsberatung dar und ersetzen diese nicht. Bitte lassen Sie sich bei rechtlichen Fragen zusätzlich anwaltlich beraten. Wir übernehmen keine Haftung durch mittelbare oder unmittelbare Schäden, die sich durch jedweden Rechtsgrund aus der Nutzung dieser Inhalte oder der Website ergeben. 

Weitere spannende Beiträge
Über den Autor
Manuel Schrenk VINYA
Manuel Schrenk
Manuel ist Gründer und Geschäftsführer von VINYA. Mit mehrjähriger Erfahrung im Management und strategischem Produktmanagement in der Softwareentwicklung beschäftigt Manuel sich mit den Chancen und Herausforderungen digitaler Arbeit. Ganz vorne stehen für ihn dabei die Themen Datenschutz und IT-Sicherheit. Manuel finden Sie auch hier:
Jetzt zum Newsletter anmelden!
Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
Vielen Dank! Wir senden Ihnen eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.