DSGVO Personalakte digital: 5 Pflichten + Aufbewahrung

Veröffentlicht: 26. April 2026 · Letzte Aktualisierung: 2. Mai 2026· Kategorie: DSGVO

Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

5 Pflichten für DSGVO-konforme digitale Personalakte (Art. 5, 6, 32 DSGVO + § 26 BDSG)
Aufbewahrungsfristen: 6 Jahre (HGB § 257), 10 Jahre (AO § 147), je nach Dokumenten-Typ
Löschkonzept Pflicht: automatisierte Löschung nach Frist-Ablauf
Auskunftsrecht (Art. 15 DSGVO): Antwort binnen 1 Monat, Vorlage Personalakte
TOM Pflicht: Verschlüsselung at-rest, Rollenkonzept HR-Mitarbeiter

Hauptartikel: Hauptartikel: Verarbeitungsverzeichnis erstellen — der vollständige Pillar-Artikel zum Thema.

1. Zugriffs-Konzept (Need-to-Know)

Vorgesetzte: nur eigene Mitarbeitende. HR: alle. Geschäftsführung: bei Bedarf. Audit-Log Pflicht.

2. Aufbewahrungs-Fristen

Lohnabrechnungen 6 Jahre (§ 41 EStG). Steuer-Unterlagen 10 Jahre (§ 147 AO). Bewerber 6 Monate (BAG 2 AZR 1180/16). Mitarbeiter-Akten nach Ende: 10 Jahre.

3. Pflichtlöschung nach Frist

Automatisierte Löschungs-Prozesse implementieren. Bei Konflikt mit aktivem Arbeitsverhältnis: Aufbewahrung bis Ende.

4. Auskunfts-Verfahren (Art. 15)

Mitarbeiter-Antrag: Auskunft binnen 1 Monat. Vorlage als PDF mit allen Datenkategorien.

5. Datenexport (Art. 20) für MA + Bewerber

Maschinenlesbares Format. Praxis: bei Wechsel Arbeitgeber selten verlangt, aber Pflicht.

Zusammenfassung

Kernpunkte dieses Artikels:

Die digitale Personalakte gehört zu den höchstgradigen DSGVO-Risiko-Verarbeitungen — hohe Datenmenge, besondere Kategorien (Krankheitsdaten nach Art. 9) und starke Betroffenenrechte.
Need-to-Know-Zugriffskonzept mit Audit-Log ist Pflicht — pauschaler Personal-Abteilungs-Zugang ist nicht ausreichend.
Aufbewahrungsmatrix: Bewerber 6 Monate (AGG), aktive Personalakte gesamte Beschäftigungsdauer, nach Austritt 10 Jahre (AO/HGB), Lohnsteuer 6 Jahre, Sozialversicherung 4 Jahre.
Art. 15 (Auskunft) und Art. 20 (Datenexport) müssen automatisierbar implementiert werden — manueller Prozess gefährdet die 1-Monats-Frist.

Schließen Sie mit jedem HR-Software-Anbieter einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ab und implementieren Sie automatisierte Löschroutinen — das ist der Branchen-Standard für audit-ready Personalakten.

Häufig gestellte Fragen

Wer haftet bei Datenpanne?

Arbeitgeber. AVV mit HR-Software-Anbieter (Personio, Workday) klärt Innenverhältnis.

Sondersensible Daten?

Krankheitsdaten = Art. 9. Restriktiver Zugriff: nur HR + ggf. Werksarzt.

Quellen

Verordnung (EU) 2016/679 (DSGVO) — deutscher Volltext, EUR-Lex (Stand: 02.05.2026, geltend seit 25.05.2018)
Bundesdatenschutzgesetz (BDSG) — gesetze-im-internet.de (Stand: laufend, BMJ-Servicestelle)
§ 257 HGB — Aufbewahrungspflichten (Stand: laufend)
§ 147 AO — Aufbewahrungsfristen (Stand: laufend)

Werkzeuge & Selbsttests

DSGVO-Checkliste 30 Pruefpunkte fuer Datenschutz-Compliance im KMU. Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. DSGVO Self-Assessment Strukturierter Selbsttest mit Reifegrad-Score und Massnahmen-Roadmap. Cookie-Banner-Audit TDDG/DSGVO-Pruefung Ihres Cookie-Banners mit konkreten Korrektur-Hinweisen.