Magazin
Datenschutz für die Personalakte: Was gilt für Arbeitgeber?

Datenschutz für die Personalakte: Was gilt für Arbeitgeber?

Letztes Update:
07
.
10
.
2025
Lesezeit:
0
Min
Kaum ein Dokument im Unternehmen enthält so viele sensible Mitarbeiterdaten wie die Personalakte. Datenschutz ist auch bei diesem HR-Dokument Pflicht. Erfahren Sie, welche Personaldaten es konkret zu schützen gilt und welche Datenschutzpflichten Arbeitgeber im Umgang mit Personalakten haben.
Datenschutz für die Personalakte: Was gilt für Arbeitgeber?
Die wichtigsten Erkenntnisse
  • Eine Personalakte enthält vertrauliche personenbezogene Daten, die unter die DSGVO und das BDSG fallen.
  • In der Personalakte dürfen Arbeitgeber Daten im Zusammenhang mit dem Arbeitsverhältnis ihrer Mitarbeiter speichern.
  • Für sensible Daten wie zum Beispiel Religionszugehörigkeit und Krankheiten müssen besondere Vorgaben eingehalten werden .
  • Grundsätzlich dürfen nur der Arbeitnehmer selbst, Vorgesetzte und ausgewählte Personalverantwortliche Personalakten einsehen. Gegebenenfalls darf auch ein vorhandener Betriebsrat mit Zustimmung des Beschäftigten Einsicht erhalten.
  • Mitarbeiter haben zugleich aus dem Arbeitsrecht und dem Datenschutzrecht bestimmte Rechte in Bezug auf die Personalakte und die darin aufbewahrten Daten, z.B. das Recht, ihre Personalakte einzusehen oder Einträge berichtigen zu lassen.

Streng vertraulich: Deshalb ist bei Personalakten Vorsicht geboten

In der Personalakte sammeln Arbeitgeber zahlreiche Informationen über ihre Angestellten – vom Arbeitsvertrag über Adress- und Bankdaten bis hin zu sozialversicherungs- und steuerrechtlich relevanten Informationen.  

Zwar besteht keine Pflicht für das Führen von Personalakten. Allerdings helfen sie Unternehmen, rechtliche Pflichten etwa aus dem Arbeits-, Sozial- oder Steuerrecht zu erfüllen. Das Problem: Eine Personalakte enthält vertrauliche Informationen. Dazu gehören auch personenbezogene Daten, die durch die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) unter einen besonderen Schutz fallen.  

Welche Informationen darf eine Personalakte enthalten?

Eine Personalakte darf Angaben enthalten, die sich auf den Arbeitnehmer und dessen Arbeitsverhältnis beziehen. In diesem Rahmen ist es Arbeitgebern gestattet, auch personenbezogene Daten zu verarbeiten, wenn die Daten für die Durchführung des Beschäftigtenverhältnisses und damit in Zusammenhang stehenden Rechte und Pflichten des Arbeitgebers und Arbeitnehmers erforderlich sind. In seltenen Fällen dürfen Daten auch auf Grundlage einer Einwilligung in der Personalakte aufbewahrt werden, allerdings sind hierbei äußerst strenge Anforderungen zu erfüllen.

Diese personenbezogenen Daten dürfen in der Personalakte stehen

Zu den persönlichen Informationen, die zur Durchführung des Arbeitsverhältnisses verarbeitet werden dürfen, zählen neben dem Namen, dem Geburtsdatum und der Adresse unter anderem:

  • Bewerbungsunterlagen wie Zeugnisse, Abschlüsse oder Arbeitszeugnisse
  • Arbeitsvertrag und Zusatzvereinbarungen
  • Unterlagen zur Sozial- und Krankenversicherung
  • Erworbene Zusatzqualifikationen, etwa von Fortbildungen
  • Lohnabrechnungen und Steuerunterlagen, einschließlich der hierfür erforderlichen Angaben z. B. zu Kindern, Konfession
  • Anträge und bestimmte Daten zu Abwesenheiten, insbesondere Urlaub, Mutterschutz und Elternzeit sowie Arbeitsunfähigkeit
  • Arbeitgeberdarlehen oder Lohnpfändungen
  • Abmahnungen, wenn diese berechtigt sind und der Wahrheit entsprechen
  • Gesprächsnotizen aus Gesprächen mit dem Mitarbeiter
  • Daten über die Mitgliedschaft im Betriebsrat
  • Kündigungsschreiben

Was gehört nicht in die Personalakte?

Alles, was nicht zur Durchführung des Arbeitsverhältnisses erforderlich ist, hat nichts in der Personalakte verloren. Dies betrifft insbesondere Information aus dem privaten Bereich wie Angaben zu privaten Interessen und Plänen oder Social-Media-Profile und deren Inhalte. Bei sensiblen Daten oder bei besonderen Kategorien von personenbezogenen Daten wie etwa religiösen, politischen oder sexuellen Überzeugungen und Vorlieben oder Gesundheitsdaten ist daher Vorsicht geboten. Es muss genau geprüft werden, was in die Personalakte darf und was nicht.  

Beispiele:

  • Angaben zur Konfession dürften verarbeitet werden, falls sie für die Berechnung der Kirchensteuerabzüge erforderlich sind, andere Angaben zur Religion der Beschäftigten jedoch nicht.  
  • Ebenso dürften Angaben zum Bestehen einer Arbeitsunfähigkeit und deren Dauer n der Personalakte verarbeitet werden, soweit sie für die Entgeltfortzahlung relevant sind, nicht hingegen ärztliche Atteste, Angaben zu Diagnosen oder sonstigen Informationen zur Krankheit. Soweit die Verarbeitung solcher Gesundheitsdaten im Einzelfall  z.B. im Rahmen eines betrieblichen Eingliederungsmanagements (BEM), überhaupt erlaubt wäre, müssten sie getrennt von der Personalakte und zudem besonders geschützt aufbewahrt werden.  

Was gilt für die Ablage von Personalakten?

Aufgrund ihrer sensiblen Inhalte gibt es strenge Vorgaben für den Umgang und die Aufbewahrung von Personalakten – und zwar unabhängig davon, ob Unternehmen ihre Personalakten in Papierform oder digital führen:

  • Nur wenige Personen dürfen Zugriff auf Daten in der Personalakte haben: Der Arbeitnehmer selbst hat arbeitsrechtlich ein Einsichtsrecht. Darüber hinausdürfen  Mitglieder der Geschäftsführung und ausgewählte Personalverantwortliche, also Vorgesetzte oder Mitarbeiter der Personalverwaltung, Zugriff nehmen, aber stets nur im erforderlichen Umfang. Mit Zustimmung des Beschäftigten darf gegebenenfalls auch ein Betriebsratsmitglied Einsicht nehmen.
  • Die Akte und ihr Inhalt sind jederzeit vertraulich zu behandeln und aufzubewahren. Um das zu gewährleisten, müssen Unternehmen entsprechende technische und organisatorische Maßnahmen (TOM) ergreifen. Gesundheitsdaten sind besonders zu schützen und müssen gesondert von der Personalakte aufbewahrt werden.
  • Die Weitergabe oder ein Offenlegen der Personalakte oder einzelner Inhalte an Dritte, auch an andere Unternehmen einer Unternehmensgruppe, ist nicht ohne Weiteres erlaubt.

Papier oder digital? In welcher Form müssen Arbeitgeber Personalakten speichern?

Unternehmen sind nicht verpflichtet, Personalakten digital zu führen. Allerdings verpflichtet sie die Beitragsverfahrensverordnung (BVV) seit Januar 2022 dazu, bestimmte Entgeltunterlagen digital an Sozialversicherungsträger zu übermitteln.  

Deshalb ist es sinnvoll, die Personalakten digital zu führen. Das vereinfacht es HR-Verantwortlichen nicht nur, die BVV einzuhalten, sondern auch den Datenschutz für Personalakten effizient einzuhalten und Personaldaten fristgerecht zu löschen. Eine Datenschutzsoftware hilft ihnen, die Fristen im Blick zu behalten.

Personaldaten DSGVO-konform managen

Mit einer Datenschutzsoftware behalten Sie bei Personalakten und anderen HR-relevanten Daten den Überblick und dokumentieren die Erhebung und Verarbeitung sauber und effizient.

Mehr zu Datenschutzsoftware

Datenschutz bei der Personalakte: Das müssen Arbeitgeber beachten

Bei den Personalakten ihrer Arbeitnehmer sollten Arbeitgeber nach den Grundsätzen für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO) handeln. Das bedeutet, die Aufnahme von Daten in die Personalakte muss unter folgenden Aspekten stattfinden:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung – wobei hier auch das Bundesgesetzbuch zu beachten ist
  • Integrität und Vertraulichkeit

Die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) besagt, dass Unternehmen in der Lage sein müssen, die Einhaltungen dieser Maßnahmen nachzuweisen.  

Arbeitnehmerrechte: Darf ein Mitarbeiter seine Personalakte einsehen?

Laut § 83 Abs. 1 Betriebsverfassungsgesetz (BetrVG) darf ein Mitarbeiter jederzeit und ohne Angabe von Gründen Einsicht in die Personalakte verlangen – solange er Entgelt bezieht und während der üblichen Arbeitszeit. Dieses Einsichtsrecht in die Personalakte gilt für Akten in Papierform und für elektronische Personalakten.

Dem Mitarbeiter ist es dabei gestattet, Kopien oder Smartphonefotos von den Inhalten zu machen. Allerdings sind Einsicht und Vervielfältigung nur innerhalb des Unternehmens möglich und der Arbeitnehmer darf die Akte nicht mit nach Hause nehmen.

Außerdem haben Arbeitnehmer arbeitsrechtlich das Recht,  

  • ihre Personalakte jederzeit berichtigen zu lassen
  • falsche Bestandteile löschen lassen
  • Stellungnahme oder Gegendarstellungen zu bestimmten Bestandteilen vorzunehmen
  • ein Betriebsratsmitglied hinzuziehen, falls ein Betriebsrat vorhanden ist.

Diese Schritte darf der Arbeitnehmer auch gerichtlich durchsetzen. Zudem bleiben diese Rechte auch nach Beendigung des Arbeitsverhältnisses bestehen.

Betroffenenrechte nach DSGVO

Neben den Rechten aus dem Arbeitsrecht stehen Beschäftigten hinsichtlich der Personalakte alle Rechte der DSGVO zur Verfügung, also insbesondere die Rechte auf  

  • Auskunft und Kopie
  • Löschung
  • Berichtigung
  • Widerspruch gegen die Verarbeitung
  • Widerruf von Einwilligungen

Arbeitgeber sollten auch in Bezug auf die Personalakte sicher, dass diese Rechte innerhalb der gesetzlichen Frist umgesetzt werden und sollten entsprechende Vorkehrungen zur Umsetzung treffen.  

Was passiert mit der Personalakte nach dem Ausscheiden des Mitarbeiters oder beim Arbeitgeberwechsel?

Nach Ausscheiden von Mitarbeitern, etwa bei Kündigung, muss der ehemalige Arbeitgeber bestimmte Dokumente aus der Personalakte gesondert von den Personalakten der aktiven Belegschaft so lange aufbewahren, bis die gesetzlichen Aufbewahrungsfristen ablaufen. Lesen Sie in unserem Übersichtsartikel alles über Aufbewahrungsfristen und Löschfristen, die für Personaldaten und -dokumente gelten.

Wechselt ein Arbeitnehmer von einem Unternehmen einer Gruppe zu einem anderen, darf die Personalakte nicht einfach weitergegeben werden. Regelmäßig muss beim neuen Unternehmen eine neue Personalakte angelegt werden.

Pflicht zur regelmäßigen Löschung oder Vernichtung

Personalakten müssen gelöscht oder vernichtet werden, wenn sie nicht mehr benötigt werden, also insbesondere nach dem Ende des Beschäftigungsverhältnisses. Darüber hinaus ist auch während des laufenden Arbeitsverhältnisses regelmäßig zu prüfen, welche Inhalte und Dokumente in der Personalakte weiterhin aufbewahrt werden müssen oder welche zu entfernen sind. So verlieren etwa Abmahnungen irgendwann Ihre Wirkung und müssen dann aus der Akte entfernt werden.  Personalakten sollten daher regelmäßig kontrolliert und bereinigt werden.

Fazit: Schützen Sie die Privatsphäre Ihrer Mitarbeiter

Um den Datenschutz für Personalakten gewährleisten zu können, benötigen Arbeitgeber klare Regelungen, an die sich die Personal- und HR-Mitarbeiter orientieren können – und den Überblick über aktuell geltende Vorschriften.  

Insbesondere Organisationen, die über den Einsatz von KI in der Personalabteilung nachdenken, oder auf Personalrecruiting spezialisierte Personaldienstleister sollten sich gründlich mit den DSGVO-Vorgaben zur Personalakte auseinandersetzen.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
Personenbezogene Daten
Datenschutz im Unternehmen
Betroffenenrechte
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von Proliance dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Marcus Geck
Senior Privacy Manager
Seit 2023 berät Marcus bei Proliance in seiner Funktion als Senior Privacy Manager Kunden bei der praktischen Umsetzung der komplexen datenschutzrechtlichen Vorgaben. Durch seine langjährige Tätigkeit als Rechtsanwalt sowie Unternehmensberater im Bereich Datenschutz kennt der Volljurist und Europajurist die Herausforderungen, vor denen insbesondere kleine und mittlere Unternehmen stehen, genau.
Zum Autorenprofil
Zum Expertenprofil
Über Proliance
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

Interner Datenschutzbeauftragter
14
.
10
.
2024
Interner Datenschutzbeauftragter
Zahlreiche Unternehmen trifft die gesetzliche Pflicht, einen Datenschutzbeauftragten (DSB) zu benennen. Im Zuge der Datenschutzgrundverordnung (DSGVO) und des neuen Bundesdatenschutzgesetzes (BDSG-neu) hat sich der Kreis der verpflichteten Unternehmen erweitert. Es besteht die Wahl zwischen einem internen und einem externen DSB. Auf den ersten Blick scheint einiges dafür zu sprechen, sich für den internen Datenschutzbeauftragten zu entscheiden. Ein interner DSB erweist sich allerdings aus verschiedenen Gründen nicht immer als optimale Wahl.
Fingerprint Devices & Datenschutz – Wie datensicher sind Fingerabdruck-Lesegeräte?
28
.
03
.
2023
Fingerprint Devices & Datenschutz – Wie datensicher sind Fingerabdruck-Lesegeräte?
Fingerprint Devices werden sowohl im privaten als auch im geschäftlichen Umfeld eingesetzt, um z.B. Hardware zu sichern. Wie sieht es bei solchen Fingerabdruck-Lesegeräten mit dem Datenschutz aus? Und welche weiteren Sicherheitsbedenken gibt es?
AGB & Datenschutz – besser zusammen?
16
.
03
.
2023
AGB & Datenschutz – besser zusammen?
AGB und Datenschutzinformationen sind wichtige Bestandteile von Websites im Internethandel. Macht es also Sinn, das Thema Datenschutz direkt in die AGB aufzunehmen? Lesen Sie, welche Risiken bestehen und welches Vorgehen sich bewährt hat.
Datensicherheitskonzept
14
.
10
.
2024
Datensicherheitskonzept
Datensicherheit umfasst den Schutz aller Daten. Datenschutz wiederum ist ein Teilbereich davon und umfasst insbesondere den Schutz personenbezogener Daten.Um beides gewährleisten zu können, empfiehlt es sich für Unternehmen, ein Datensicherheitskonzept zu etablieren. Datensicherheit ist ein Bestandteil des Datenschutzes und beschreibt ein konkretes datenschutzrechtliches Vorgehen für Unternehmen, bei der die notwendigen Rahmenbedingungen für die Erhebung, Verarbeitung und Nutzung speziell personenbezogener Daten sichergestellt werden. Datensicherheit sowie der übergeordnete Datenschutz sind eng mit der Unternehmens-IT verknüpft, weswegen hier auch von Informationssicherheit gesprochen wird. Ein Datensicherheitskonzept ist dabei je nach Unternehmen individuell zu etablieren. Wir erklären, worauf Sie achten müssen.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Berechtigungskonzept: Effektiver Datenschutz durch gezielte Zugriffssteuerung
12
.
11
.
2025
Berechtigungskonzept: Effektiver Datenschutz durch gezielte Zugriffssteuerung
Wer darf im Unternehmen auf welche Daten zugreifen? Ein Berechtigungskonzept liefert klare Antworten. Warum ein solches Konzept für Unternehmen erforderlich ist, was darin geregelt sein muss und wie Sie es effektiv umsetzen.
Datenschutz-Folgenabschätzung: Wann brauchen Unternehmen die DSFA?
12
.
11
.
2025
Datenschutz-Folgenabschätzung: Wann brauchen Unternehmen die DSFA?
Die Datenschutzgrundverordnung fordert von Unternehmen, sorgsam mit personenbezogenen Daten umzugehen. Ein wichtiges Instrument, um Risiken bei der Datenverarbeitung zu reduzieren, ist die Datenschutz-Folgenabschätzung (DSFA). Erfahren Sie, wann Ihr Unternehmen eine DSFA braucht, wer zuständig ist und was drinstehen sollte.
ChatGPT & Datenschutz: Welche Folgen hat die Nutzung des Chatbots?
07
.
11
.
2025
ChatGPT & Datenschutz: Welche Folgen hat die Nutzung des Chatbots?
ChatGPT weckt weltweit die Neugierde auf Künstliche Intelligenz. Wöchentlich tauschen sich rund 500 Millionen Menschen mit dem Chatbot aus. Doch mit dem Hype wächst auch die Sorge von Datenschützern. Wie sicher ist ChatGPT hinsichtlich des Datenschutzes und müssen Unternehmen auf das KI-Tool verzichten?
AI Act: Was die KI-Verordnung für Unternehmen bedeutet
05
.
11
.
2025
AI Act: Was die KI-Verordnung für Unternehmen bedeutet
Mit dem zunehmenden Einsatz von künstlicher Intelligenz (KI) in Unternehmen wächst auch der Bedarf an klaren gesetzlichen Regeln. Der AI Act der Europäischen Union bietet seit August 2024 einen rechtlichen Rahmen für den regulierten und sicheren Einsatz von KI-Systemen in der EU. Die KI-Verordnung (KI-VO) trat am 1. August 2024 in Kraft – mit gestaffelten Übergangsfristen bis 2027. In diesem Artikel erfahren Sie, welche konkreten Anforderungen auf Ihr Unternehmen zukommen und wie Sie Compliance-Risiken minimieren.
datenschutz-Muster

Kostenlose Materialien zum Thema

Einwilligungserklärung: Kostenloses Muster
Nutzen Sie unsere kostenlose Vorlage für eine Einwilligungserklärung zur Erhebung personenbezogener Daten.
Bestellung eines Datenschutz­beauftragten nach DSGVO
Berufen Sie jetzt einfach und schnell Proliance mit unserer Bestellurkunde.
Datenschutzerklärung für Mitarbeiter
Erstellen Sie mit unserem kostenlosen Muster eine DSGVO-konforme Datenschutzinformation für Ihre Mitarbeiter.
Verschwiegenheits­erklärung für Mitarbeiter
Stellen Sie mit unserer Verschwiegenheits­erklärung sicher, dass sensible Informationen im Unternehmen bleiben und reduzieren Sie das Risiko von Datenschutzverstößen und Abmahnungen.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!