Magazin
Datenschutz für die Personalakte: Was gilt für Arbeitgeber?

Datenschutz für die Personalakte: Was gilt für Arbeitgeber?

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Kaum ein Dokument im Unternehmen enthält so viele sensible Mitarbeiterdaten wie die Personalakte. Datenschutz ist bei diesem HR-Dokument Pflicht. Erfahren Sie, welche Personaldaten es konkret zu schützen gilt und welche DSGVO-Pflichten Arbeitgeber im Umgang mit Personalakten haben.
Datenschutz für die Personalakte: Was gilt für Arbeitgeber?
Die wichtigsten Erkenntnisse
  • Eine Personalakte enthält vertrauliche personenbezogene Daten, die unter die DSGVO fallen.
  • In der Personalakte dürfen Arbeitnehmern Daten im Zusammenhang mit dem Arbeitsverhältnis ihrer Mitarbeiter speichern.
  • Sensible Daten wie Religion und Krankheiten gehören dagegen nicht in die Personalakte.
  • Nur Arbeitnehmer, Arbeitgeber und ausgewählte Personalverantwortliche dürfen Personalakten einsehen.
  • Mitarbeiter haben unter bestimmten Umständen jederzeit das Recht, ihre Personalakte einzusehen und Einträge berichtigen zu lassen.

Streng vertraulich: Deshalb ist bei Personalakten Vorsicht geboten

In der Personalakte sammeln Arbeitgeber zahlreiche Informationen über ihre Angestellten – vom Arbeitsvertrag über Adress- und Bankdaten bis hin zu sozialversicherungs- und steuerrechtlich relevanten Informationen.  

Zwar besteht keine Pflicht für das Führen von Personalakten. Allerdings helfen sie Unternehmen, rechtliche Pflichten etwa aus dem Arbeits- oder Steuerrecht zu erfüllen. Das Problem: Eine Personalakte enthält vertrauliche Informationen. Dazu gehören auch personenbezogene Daten, die durch die Datenschutzgrundverordnung (DSGVO) unter einen besonderen Schutz fallen.  

Welche Informationen darf eine Personalakte enthalten?

Eine Personalakte darf Angaben enthalten, die sich auf den Arbeitnehmer und dessen Arbeitsverhältnis beziehen. In diesem Rahmen ist es Arbeitgebern gestattet, auch personenbezogene Daten zu verarbeiten.  

Diese personenbezogenen Daten dürfen in der Personalakte stehen

Zu diesen persönlichen Informationen zählen neben dem Namen, dem Geburtsdatum und der Adresse unter anderem:

  • Bewerbungsunterlagen wie Zeugnisse, Abschlüsse oder Arbeitszeugnisse
  • Arbeitsvertrag und Zusatzvereinbarungen
  • Unterlagen zur Sozial- und Krankenversicherung
  • Erworbene Zusatzqualifikationen, etwa von Fortbildungen
  • Lohnabrechnungen und Steuerunterlagen
  • Urlaubsanträge
  • Darlehen oder Lohnpfändungen
  • Abmahnungen, wenn diese berechtigt sind und der Wahrheit entsprechen
  • Gesprächsnotizen aus Gesprächen mit dem Mitarbeiter
  • Daten über die Mitgliedschaft im Betriebsrat
  • Kündigungsschreiben

Was gehört nicht in die Personalakte?

Laut DSGVO gehören besonders sensible personenbezogene Daten nicht in die Personalakte: Dazu zählen zum Beispiel Angaben zu religiösen, politischen oder sexuellen Überzeugungen und Vorlieben, Social-Media-Profile und ärztliche Unterlagen wie Atteste, die Angaben zu Krankheiten enthalten könnten.

Grundsätzlich gelten Gesundheitsdaten als besonders schützenswert. Im Sinne des Arbeitnehmerdatenschutzes dürfen Krankheitstage, Fehltage oder andere Abwesenheiten deshalb nur in Ausnahmefällen und nach Rücksprache mit dem Arbeitnehmer in die Personalakte aufgenommen werden.

Was gilt für die Ablage von Personalakten?

Aufgrund ihrer sensiblen Inhalte gibt es strenge Vorgaben für den Umgang und die Aufbewahrung von Personalakten – und zwar unabhängig davon, ob Unternehmen ihre Personalakten in Papierform oder digital führen:

  • Nur wenige Mitarbeiter dürfen Einsicht in die Personalakte nehmen: Der Arbeitnehmer selbst, der Arbeitgeber und ausgewählte Personalverantwortliche.
  • Die Weitergabe der Personalakte an Dritte ist nicht erlaubt.

Papier oder digital? In welcher Form müssen Arbeitgeber Personalakten speichern?

Unternehmen sind nicht verpflichtet, Personalakten digital zu führen. Allerdings verpflichtet sie die Beitragsverfahrensverordnung (BVV) seit Januar 2022 dazu, bestimmte Entgeltunterlagen digital an Sozialversicherungsträger zu übermitteln.  

Deshalb ist es sinnvoll, die Personalakten digital zu führen. Das vereinfacht es HR-Verantwortlichen nicht nur, die BVV einzuhalten, sondern auch den Datenschutz für Personalakten effizient einzuhalten und Personaldaten fristgerecht zu löschen. Eine Datenschutzsoftware hilft ihnen, die Fristen im Blick zu behalten.

Personaldaten DSGVO-konform managen

Mit einer Datenschutzsoftware behalten Sie bei Personalakten und anderen HR-relevanten Daten den Überblick und dokumentieren die Erhebung und Verarbeitung sauber und effizient.  

Mehr zu Datenschutzsoftware

Datenschutz bei der Personalakte: Das müssen Arbeitgeber beachten

Bei den Personalakten ihrer Arbeitnehmer sollten Arbeitgeber nach den Grundsätzen für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO) handeln. Das bedeutet, die Aufnahme von Daten in die Personalakte muss unter folgenden Aspekten stattfinden:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung – wobei hier auch das Bundesgesetzbuch zu beachten ist
  • Integrität und Vertraulichkeit

Die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) besagt, dass Unternehmen in der Lage sein müssen, die Einhaltungen dieser Maßnahmen nachzuweisen.  

Arbeitnehmerrechte: Darf ein Mitarbeiter seine Personalakte einsehen?

Laut § 83 Abs. 1 Betriebsverfassungsgesetz (BetrVG) darf ein Mitarbeiter jederzeit und ohne Angabe von Gründen Einsicht in die Personalakte verlangen – solange er Entgelt bezieht und während der üblichen Arbeitszeit. Dieses Einsichtsrecht in die Personalakte gilt für Akten in Papierform und für elektronische Personalakten.

Dem Mitarbeiter ist es dabei gestattet, Kopien oder Smartphonefotos von den Inhalten zu machen. Allerdings sind Einsicht und Vervielfältigung nur innerhalb des Unternehmens möglich und der Arbeitnehmer darf die Akte nicht mit nach Hause nehmen.

Außerdem haben Arbeitnehmer das Recht,  

  • ihre Personalakte jederzeit berichtigen zu lassen
  • falsche Bestandteile löschen lassen
  • Stellungnahme oder Gegendarstellungen zu bestimmten Bestandteilen vorzunehmen
  • ein Betriebsratsmitglied hinzuziehen, falls ein Betriebsrat vorhanden ist.

Diese Schritte darf der Arbeitnehmer auch gerichtlich durchsetzen. Zudem bleiben diese Rechte auch nach Beendigung des Arbeitsverhältnisses bestehen.

Was passiert mit der Personalakte bei Arbeitgeberwechsel?

Nach Ausscheiden von Mitarbeitern, etwa bei Kündigung, muss der ehemalige Arbeitgeber die Personalakte so lange aufbewahren, bis die gesetzlichen Aufbewahrungsfristen ablaufen. Lesen Sie in unserem Übersichtsartikel alles über Aufbewahrungsfristen und Löschfristen, die für Personaldaten und -dokumente gelten-  

Fazit: Schützen Sie die Privatsphäre Ihrer Mitarbeiter

Um den Datenschutz für Personalakten gewährleisten zu können, benötigen Arbeitgeber klare Regelungen, an die sich die Personal- und HR-Mitarbeiter orientieren können – und den Überblick über aktuell geltende Vorschriften.  

Insbesondere Organisationen, die über den Einsatz von KI in der Personalabteilung nachdenken, oder auf Personalrecruiting spezialisierte Personaldienstleister sollten sich gründlich mit den DSGVO-Vorgaben zur Personalakte auseinandersetzen.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
Personenbezogene Daten
Datenschutz im Unternehmen
Betroffenenrechte
Redaktion
Sabrina Schaub
Freie Redakteurin
Mit ihrer Content-Erfahrung unterstützt Sabrina das Team von Proliance dabei, komplexe Themen verständlich zu kommunizieren. Als freie Autorin kennt sie die Datenschutzbedürfnisse unterschiedlicher Branchen und übersetzt selbst anspruchsvolle Informationen in zielgruppengerechte Inhalte.
Zum Autorenprofil
Zum Expertenprofil
Über Proliance
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
In diesem Beitrag
Example Link H2
Example Link H3
Example Link H4
Example Link H5
Example Link H6
Beitrag teilen
Sie haben noch Fragen? Wir sind gerne für Sie da.
Jetzt beraten lassen
Verwandte Artikel

Ähnliche Themen, die Sie auch interessieren könnten

WeTransfer & Datenschutz: Wie sicher ist Ihre Datenübertragung wirklich?
30
.
07
.
2025
WeTransfer & Datenschutz: Wie sicher ist Ihre Datenübertragung wirklich?
Dateiübertragungen sind mehr als nur Cloud–Upload – sie sind ein Datenschutzrisiko. WeTransfer ist ein beliebter Online-Dienst für das Versenden großer Dateianhänge. Mit der kostenlosen Version können Dateien mit einer Größe von bis zu 2 Gigabyte versendet werden. Das ist für AnwenderInnen besonders komfortabel, wenn beispielsweise Fotos oder Videos zu groß für den Versand per E-Mail sind, aber gebündelt und mit hoher Qualität versandt werden sollen. Doch kürzlich hat WeTransfer seine AGBs geändert, was die Frage aufwirft, wie sicher ist diese praktische Möglichkeit der Datenübertragung in Hinblick auf den Datenschutz noch ist. Der folgende Artikel liefert einen Überblick, welche Aspekte aus Sicht der DSGVO als kritisch zu betrachten sind und wie gut SwissTransfer als Alternative abschneidet.
Fingerprint Devices & Datenschutz – Wie datensicher sind Fingerabdruck-Lesegeräte?
28
.
03
.
2023
Fingerprint Devices & Datenschutz – Wie datensicher sind Fingerabdruck-Lesegeräte?
Fingerprint Devices werden sowohl im privaten als auch im geschäftlichen Umfeld eingesetzt, um z.B. Hardware zu sichern. Wie sieht es bei solchen Fingerabdruck-Lesegeräten mit dem Datenschutz aus? Und welche weiteren Sicherheitsbedenken gibt es?
Datenschutz für Facebook-Unternehmensseiten
23
.
04
.
2024
Datenschutz für Facebook-Unternehmensseiten
Eine Facebook-Unternehmensseite gehört zu den am häufigsten genutzten Marketing-Möglichkeiten in Social Media. Es gibt kaum ein Unternehmen, das heutzutage keine Facebook-Seite führen würde. Schließlich ist das soziale Netzwerk eine praktische und unmittelbare Möglichkeit, um mit Kunden und Interessenten in Kontakt zu kommen – sei es über regelmäßige Unternehmens-Posts zu aktuellen Themen oder Werbeanzeigen.
WhatsApp-Alternativen für die Kommunikation im Unternehmen
16
.
04
.
2023
WhatsApp-Alternativen für die Kommunikation im Unternehmen
WhatsApp im Unternehmen? Aus Datenschutz-Sicht keine gute Idee, denn auch App-Anbieter unterliegen der DSGVO. Wir zeigen Ihnen Gefahren auf und stellen angesagte Messenger Alternativen wie Threema und Signal vor.
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Informationssicherheitsbeauftragter: Rolle, Aufgaben und Pflichten im Detail erklärt
22
.
09
.
2025
Informationssicherheitsbeauftragter: Rolle, Aufgaben und Pflichten im Detail erklärt
Informationssicherheit ist heute Kern der Unternehmenssteuerung: Sie reduziert Geschäftsrisiken, erfüllt regulatorische Anforderungen (u. a. NIS2, ISO 27001) und macht Sie auditfähig gegenüber Kunden, Auditoren und Behörden. Dieser Beitrag erklärt die Rolle des Informationssicherheitsbeauftragten (ISB) praxisnah – mit Fokus auf Aufgaben, Pflichten und konkrete nächste Schritte: NIS2-Standortbestimmung, ISO 27001 GAP-Analyse und ein schlank aufgesetztes ISMS.
IT-Risikoanalyse nach ISO 27001: Basis für ein starkes ISMS und wirksame Cyber-Abwehr
16
.
09
.
2025
IT-Risikoanalyse nach ISO 27001: Basis für ein starkes ISMS und wirksame Cyber-Abwehr
Mit einer ISO-Risikobewertung legen IT- und InfoSec-Verantwortliche den Grundstein für ein wirksames ISMS, das ihr Unternehmen vor Cyberangriffen und Datenverlusten schützt und bei der Erfüllung von DSGVO- und NIS2-Anforderungen unterstützt. In diesem praxisnahen Leitfaden erfahren Sie alles über die ISO-Risikoanalyse und welche Rolle Annex A und das SoA spielen.
FAQ zu Cyberresilienz: Besserer Schutz vor Hackerangriffen durch NIS2?
04
.
09
.
2025
FAQ zu Cyberresilienz: Besserer Schutz vor Hackerangriffen durch NIS2?
NIS2 soll die Cyberresilienz europäischer Unternehmen stärken – doch für viele Unternehmen ist die EU-Richtlinie eine organisatorische und finanzielle Herausforderung. Informationssicherheitsspezialist Stefan Rühl gibt Antworten auf die wichtigsten Fragen zu Cyberresilienz und erklärt, warum selbst Unternehmen von NIS2 profitieren, die nicht betroffen sind.
Cyberresilienz-Verordnung (Cyber Resilience Act): Fristen und Fahrplan für Compliance-Verantwortliche
04
.
09
.
2025
Cyberresilienz-Verordnung (Cyber Resilience Act): Fristen und Fahrplan für Compliance-Verantwortliche
Um die Cyberresilienz von Unternehmen zu stärken, hat die EU mehrere Verordnungen erlassen. Neben NIS2 ist für Anbieter digitaler Produkte die Cyberresilienz-Verordnung relevant. Erfahren Sie, was dahintersteckt und was Ihr Unternehmen jetzt unternehmen muss.
datenschutz-Muster

Kostenlose Materialien zum Thema

Datenschutzerklärung Vorlage & Muster
Nutzen Sie unsere kostenlose Datenschutzerklärung Vorlage und setzen Sie die DSGVO sicher um.
Datenschutzerklärung für Kunden
Erfüllen Sie mit unserer Vorlage die DSGVO-Datenschutzinformationspflicht für Ihre Kunden.
Datenschutzerklärung für Mitarbeiter
Erstellen Sie mit unserem kostenlosen Muster eine DSGVO-konforme Datenschutzinformation für Ihre Mitarbeiter.
Auftrags­verarbeitungsvertrag (AV-Vertrag)
Erstellen Sie mit unserem kostenlosen Muster einen DSGVO-konformen Auftragsverarbeitungsvertrag.
Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!