Datenschutz Personalakte

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Geht es um die Themen Personalakte und Datenschutz, kommen viele Unsicherheiten auf: Welche Daten fallen bei der Personalaktenführung an und welche personenbezogenen Daten dürfen aus datenschutzrechtlicher Sicht (nicht) in die Personalakte? Wir geben Ihnen einen Überblick.
Datenschutz Personalakte
Die wichtigsten Erkenntnisse
  • Personalakte enthält vertrauliche personenbezogene Daten gemäß DSGVO.
  • Sensible Daten wie Religion und Krankheiten gehören nicht in die Personalakte.
  • Nur Arbeitnehmer, Arbeitgeber und ausgewählte Personalverantwortliche dürfen Personalakten einsehen.
  • Mitarbeiter haben jederzeit das Recht, Personalakte einzusehen und zu berichtigen.
  • Aufbewahrungsfristen richten sich nach Inhalt; Vertraulichkeit muss stets gewährleistet sein.

Personalakte und personenbezogene Daten: Welche Informationen enthält eine Personalakte?

Eine Personalakte enthält vertrauliche Informationen, die auch personenbezogene Daten miteinschließen. Personenbezogene Daten fallen durch die Datenschutzgrundverordnung (DSGVO) unter einen besonderen Schutz. Dieser Schutz erstreckt sich auch auf die von Unternehmen über ihre Mitarbeiter geführten Personalakten.

Bestandteile, die eine Personalakte enthalten darf, sind Angaben, die sich auf den Arbeitnehmer und dessen Arbeitsverhältnis beziehen. Der Arbeitgeber darf dafür personenbezogene Daten verarbeiten, die seine Arbeitnehmer betreffen. Das sind Informationen wie:

  • Bewerbungsunterlagen inkl. Zeugnisse, Abschlüsse, Arbeitszeugnisse etc.
  • Der Arbeitsvertrag und Erweiterungen (Zusatzvereinbarungen)
  • Sozialversicherungsunterlagen
  • Krankenkassenunterlagen
  • Erworbene Zusatzqualifikationen (z.B. von Fortbildungen)
  • Lohnabrechnungen sowie Steuerunterlagen
  • Urlaubsanträge
  • Darlehen oder Lohnpfändungen
  • Abmahnungen, wenn diese berechtigt sind und der Wahrheit entsprechen
  • Gesprächsnotizen aus Gesprächen mit dem Mitarbeiter
  • Mitgliedschaft im Betriebsrat
  • Kündigungsschreiben und Arbeitszeugnis

Krankheitstage, Fehltage oder andere Abwesenheiten sollten eigentlich nur nach Rücksprache mit dem Arbeitnehmer im Sinne des Arbeitnehmerdatenschutzes in eine Personalakte aufgenommen werden. Dennoch sind solche Angaben in vielen Personalakten zu finden.

Die DSGVO sorgt auch für Datenschutz bei Personalakten: Sehr sensible personenbezogene Informationen haben deswegen in Personalakten nichts zu suchen. Dazu gehören religiöse und politische sowie sexuelle Überzeugungen und Vorlieben, Social-Media-Profile und ärztliche Unterlagen (Atteste, Angaben zu Krankheiten).

Gesetzliche Bestimmungen zur Personalakte

Zwar besteht keine Pflicht zum Führen einer Personalakte, der Einfachheit und Übersichtlichkeit halber führen aber die meisten Unternehmen Personalakten. Da eine Personalakte eine Menge private personenbezogene und andere Informationen über einen Arbeitnehmer enthält, muss sie zu jeder Zeit Vertraulich aufbewahrt werden. Dabei macht es keinen Unterschied, ob es sich um eine Personalakte in Papierform oder um eine elektronische Personalakte bzw. eine digitale Personalakte handelt.

Weitere gesetzliche Bestimmungen bezüglich Personalakten sind:

  • Nur wenige Mitarbeiter dürfen Zugriff auf eine Personalakte haben. Dabei handelt es sich um den Arbeitnehmer selbst, um den Arbeitgeber sowie um ausgewählte Personalverantwortliche.
  • Die Akte und deren Inhalt müssen zu jeder Zeit vertraulich aufbewahrt werden. Dafür braucht es besondere technische und organisatorische Maßnahmen.
  • Das Verbot der Weitergabe der Personalakte an Dritte.

Um den so geregelten Datenschutz für Personalakten gewährleisten zu können, braucht es intern klare Regelungen, an die sich die Personal- und HR-Mitarbeiter orientieren können.

Der Datenschutz bei Personalakten in großen, auf Personalrecruiting spezialisierten Unternehmen wie Personaldienstleister ist dabei besonders wichtig – die Personaldaten sind quasi das Kapital solcher Unternehmen, die es besonders zu schützen gilt.

Umgang mit Personalakten: Das gilt es aus Datenschutzperspektive zu beachten

Bei Personalakten sollte nach den Grundsätzen für die Verarbeitung personenbezogener Daten (Art. 5 DSGVO) gehandelt werden. Die Datenaufnahme in die Personalakte sollte daher unter folgenden Aspekten stattfinden:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung – wobei hier auch das Bundesgesetzbuch zu beachten ist, s. FAQ
  • Integrität und Vertraulichkeit

Die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) besagt, dass die Einhaltungen dieser Maßnahmen nachgewiesen werden können muss. Der Arbeitnehmer hat außerdem das Recht, seine Personalakte jederzeit einzusehen und berichtigen zu lassen. Zudem darf er:

  • Falsche Bestandteile Löschen lassen
  • Stellungnahme oder Gegendarstellungen zu bestimmten Bestandteilen vornehmen
  • Falls vorhanden, ein Betriebsratsmitglied hinzuziehen

Diese Schritte darf der Arbeitnehmer im äußersten Falle auch gerichtlich durchsetzen. Zudem bleiben diese Rechte auch nach Beendigung des Arbeitsverhältnisses bestehen.

BERATUNGSGESPRÄCH ANFORDERN

Wir beantworten Ihre Fragen zum Thema Personalakte und Datenschutz:

Wer darf eine Personalakte einsehen?

§ 83 Abs. 1 Betriebsverfassungsgesetz (BetrVG) regelt, dass Mitarbeiter jederzeit (solange er Entgelt bezieht und während der üblichen Arbeitszeit) und ohne die Angabe von Gründen ihre Personalakte einsehen dürfen (sog. Einsichtsrecht). Diese Einsicht in die Personalakte gilt gleichermaßen für Akten in Papierform wie für eine elektronische Personalakte bzw. eine digitale Personalakte.

Was gehört nicht in die Personalakte?

Sehr sensible Daten, wie z.B. Informationen zu Krankheiten oder Fehltritten sowie religiöse oder politische Überzeugungen der Mitarbeiter haben in deren Personalakten nichts zu suchen. Sollten solche Informationen in einer Personalakte sein, kann der Mitarbeiter darauf bestehen, diese entfernen zu lassen.

Aufbewahrungsfristen für eine Personalakte

Aufbewahrungsfristen für Personalakten nach der DSGVO gibt es nicht. Stattdessen richtet sich die Aufbewahrungsfrist einer Personalakte danach, was alles in dieser Akte enthalten ist. Die regelmäßige Verjährungsfrist (geregelt in § 195 BGB) endet nach drei Jahren. Enthält die Personalakte zum Beispiel Unterlagen im Sinne des Steuerrechts, muss sie Minimum sechs Jahre aufgehoben werden. Aber egal, wie lange die Akte aufgehoben wird – die Vertraulichkeit muss zu jeder Zeit gewährleistet sein.

Personalakte fotografieren oder Personalakte kopieren: Ist das erlaubt?

Der Mitarbeiter darf, wenn er seine Personalakte einsieht, Kopien oder Fotos (z.B. mit dem Smartphone) davon machen. Dies muss allerdings innerhalb des Unternehmens geschehen; nach Hause mitgenommen werden darf die Personalakte nicht.

Unser Team

Wir stehen Ihnen zur Seite

Mit meiner fundierten Erfahrung in der operativen Unternehmensberatung helfe ich Ihnen dabei, die Vorgaben der DSGVO pragmatisch umzusetzen.

Dominik Fünkner

(zertifizierter Datenschutzbeauftragter & Geschäftsführer)

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!