Datenschutz & Compliance

Mitarbeiterdaten und DSGVO: Was Arbeitgeber wissen müssen

7 Min. Lesezeit
Kurze Antwort

Arbeitgeber verarbeiten täglich Mitarbeiterdaten. Was erlaubt ist, wie lange gespeichert werden darf und welche Besonderheiten für Gesundheitsdaten gelten, regelt die DSGVO in Verbindung mit § 26 BDSG.

Die Verarbeitung von Mitarbeiterdaten ist nur auf Basis einer klaren Rechtsgrundlage zulässig. Die Einwilligung spielt im Arbeitsverhältnis eine untergeordnete Rolle – wegen des strukturellen Machtgefälles zwischen Arbeitgeber und Arbeitnehmer ist sie selten wirksam.

Rechtliche Grundlage: § 26 BDSG und DSGVO

Was Arbeitgeber verbindlich regeln müssen

  • Datenschutzinformation für Mitarbeiter (Art. 13 DSGVO) bei Einstellung aushändigen – was wird verarbeitet, warum, wie lange
  • Speicherfristen für alle Datenkategorien festlegen und technisch durchsetzen: Bewerberdaten (6 Monate), Personalakten (nach Ausscheiden 3 Jahre, steuerrelevante Unterlagen 10 Jahre)
  • Zugriffskontrolle: Wer darf die Personalakte sehen? HR, direkte Führungskraft – nicht jeder Kollege
  • Besondere Kategorien (Gesundheitsdaten, Gewerkschaftszugehörigkeit) nur mit expliziter Rechtsgrundlage verarbeiten
  • Datenverarbeitungsverzeichnis (Art. 30 DSGVO) um alle HR-Prozesse ergänzen
  • Bei Einsatz von Zeiterfassungs-, Monitoring- oder HR-Software: Auftragsverarbeitungsvertrag mit Anbieter abschließen
  • Betriebsrat einbinden, wenn vorhanden – Mitbestimmungsrechte bei technischen Überwachungsmaßnahmen beachten
Gesundheitsdaten sind besondere Kategorien nach Art. 9 DSGVO und dürfen nur in engen Ausnahmen verarbeitet werden. Krankheitsdiagnosen gehören nicht in die Personalakte – nur die Arbeitsunfähigkeit und deren voraussichtliche Dauer sind für den Arbeitgeber relevant.

Datenschutz im Beschäftigungsverhältnis umsetzen

  1. Datenschutzinformation erstellen und übergeben

    Jeder neue Mitarbeiter muss bei Einstellung eine vollständige Information nach Art. 13 DSGVO erhalten. Diese muss alle verarbeiteten Datenkategorien, Zwecke, Rechtsgrundlagen, Speicherfristen, Empfänger und Betroffenenrechte benennen. Unterschrift empfohlen, aber keine Einwilligungsvoraussetzung.

  2. Zugriffsrechte auf Personalakten definieren

    Legen Sie verbindlich fest, wer auf welche Teile der Personalakte zugreift. Digitale HR-Systeme müssen Rollenkonzepte unterstützen. Gehaltsabrechnungen darf nicht die gleiche Person sehen wie alle anderen Mitarbeiterdaten – Funktionstrennungen einhalten.

  3. Speicherfristen technisch hinterlegen

    Definieren Sie für jede Datenkategorie eine Frist und stellen Sie sicher, dass das System nach Fristablauf automatisch löscht oder Sie zur manuellen Löschung auffordert. Bewerberdaten: 6 Monate. Personalakte nach Ausscheiden: 3 Jahre. Steuerrelevante Unterlagen: 10 Jahre. Sozialversicherungsunterlagen: bis zu 30 Jahre.

  4. HR-Software-Anbieter auf AVV prüfen

    Wenn Sie eine HR-Software nutzen (Personio, SAP SuccessFactors, DATEV etc.), verarbeitet der Anbieter Mitarbeiterdaten in Ihrem Auftrag. Ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO) ist Pflicht – prüfen Sie, ob er vorliegt und aktuell ist.

  5. Besonderheiten bei Kündigung und Ausscheiden

    Nach Beendigung des Arbeitsverhältnisses dürfen nicht alle Daten sofort gelöscht werden. Prüfen Sie laufende Rechtsstreitigkeiten (Aufbewahrung bis Rechtskraft), gesetzliche Aufbewahrungsfristen und Rentenversicherungsunterlagen. Danach unverzüglich löschen oder vernichten.

Einwilligungen von Mitarbeitern sind im Arbeitsverhältnis kritisch zu betrachten. Nur wenn der Mitarbeiter die Einwilligung tatsächlich ohne Nachteil verweigern kann (z. B. bei freiwilligen Benefits), ist sie als Rechtsgrundlage tragfähig.

Monitoring und Leistungsüberwachung

Sind Ihre HR-Prozesse DSGVO-konform? INREMA prüft Ihre Personalaktenführung, Speicherfristen und Zugriffsrechte und gibt klare Handlungsempfehlungen.

Jetzt beraten lassen

Häufige Fragen

Darf ich Krankheitsdiagnosen in der Personalakte speichern?
Nein. Diagnosen sind Gesundheitsdaten nach Art. 9 DSGVO. In der Personalakte darf nur die Tatsache der Arbeitsunfähigkeit und deren voraussichtliche Dauer stehen.
Wie lange darf ich Bewerberdaten nach einer Absage speichern?
In der Regel 6 Monate, um mögliche Klagen wegen Diskriminierung (AGG) abwehren zu können. Danach sind die Daten zu löschen.
Müssen Mitarbeiter in die Verarbeitung ihrer Daten einwilligen?
Für den Kernbereich des Arbeitsverhältnisses (Lohnabrechnung, Krankmeldung etc.) nicht – hier gilt § 26 BDSG. Einwilligungen sind nur für freiwillige Datenverarbeitungen außerhalb des Pflichtverhältnisses geeignet.
Was muss ein AVV mit einem HR-Software-Anbieter enthalten?
Name und Kontakt des Auftragsverarbeiters, Verarbeitungszweck und -ort, Datenkategorien, Sicherheitsmaßnahmen (TOMs), Unterauftragsverarbeiter, Löschfristen und Weisungsgebundenheit des Anbieters.

War dieser Artikel hilfreich?

Verwandte Artikel
Interim Management
Betriebsrat und Interim Manager: Was beachtet werden muss
7 Min. Lesezeit
Datenschutz & Compliance
Datenschutzbeauftragter: intern oder extern bestellen – was passt für Ihr Unternehmen?
8 Min. Lesezeit
Datenschutz & Compliance
Home-Office und Datenschutz: Was Unternehmen verbindlich regeln müssen
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen