In einem Satz. Eine Personalabteilung wird DSGVO-konform, indem sie Beschäftigtendaten auf § 26 BDSG stützt, Bewerberdaten nach spätestens sechs Monaten löscht, die Personalakte auf das für das Arbeitsverhältnis Erforderliche begrenzt, Mitarbeiterüberwachung nur unter strengen Voraussetzungen und mit Beteiligung des Betriebsrats einsetzt und für HR-Software Auftragsverarbeitungsverträge führt.
Was muss eine Personalabteilung für DSGVO-Konformität tun? HR verarbeitet Daten über den gesamten Beschäftigtenlebenszyklus - von der Bewerbung über die Personalakte bis zum Zeugnis - darunter besondere Kategorien (Gesundheit, Konfession, Gewerkschaft). Konformität heißt: Rechtsgrundlage § 26 BDSG korrekt anwenden, Datenminimierung im Bewerbungsverfahren, klare Löschfristen, Grenzen der Überwachung wahren, den Betriebsrat einbinden und HR-Systeme als Auftragsverarbeitung absichern. Dieser Leitfaden ergänzt den Beitrag DSGVO Personalwesen und Mitarbeiterdaten. Grundlagen: DSGVO Anforderungen.
Wichtige Punkte
- Rechtsgrundlage für Beschäftigtendaten: § 26 BDSG (bald ggf. Beschäftigtendatengesetz).
- Bewerberdaten spätestens 6 Monate nach Absage löschen (AGG-Klagefrist).
- Personalakte nur mit erforderlichen Daten; kein Sammeln auf Vorrat.
- Mitarbeiterüberwachung nur bei konkretem Anlass und Verhältnismäßigkeit.
- H&M 35,3 Mio. € - das teuerste HR-Bußgeld Deutschlands.
1. Welche Daten HR verarbeitet
Die Personalabteilung verarbeitet Bewerber- und Beschäftigtendaten, Sozialversicherungs- und Steuerdaten, Gesundheitsdaten (Krankmeldungen, BEM, Schwerbehinderung), Konfession (Kirchensteuer), Gewerkschaftszugehörigkeit und Leistungsdaten. Vieles davon sind besondere Kategorien nach Art. 9 DSGVO und unterliegt dem höchsten Schutzniveau.
2. Rechtsgrundlagen pro Verarbeitung
| Verarbeitung | Rechtsgrundlage |
|---|---|
| Bewerbungsverfahren | § 26 Abs. 1 BDSG (Anbahnung) |
| Durchführung Arbeitsverhältnis | § 26 Abs. 1 BDSG |
| Lohn / Sozialversicherung | Art. 6 Abs. 1 lit. c; § 26 BDSG |
| Gesundheitsdaten (Krankheit, BEM) | § 26 Abs. 3 BDSG / Art. 9 Abs. 2 lit. b |
| Betriebsvereinbarung als Grundlage | Art. 88 DSGVO i.V.m. § 26 Abs. 4 BDSG |
| Einwilligung (z. B. Fotos, freiwillige Benefits) | § 26 Abs. 2 BDSG |
| Bewerberpool | § 26 Abs. 2 BDSG (Einwilligung) |
Einwilligungen im Beschäftigtenverhältnis sind wegen des Über-/Unterordnungsverhältnisses nur unter engen Voraussetzungen freiwillig (§ 26 Abs. 2 BDSG) - die Freiwilligkeit ist zu dokumentieren.
3. Bewerbungsverfahren und Datenminimierung
Im Bewerbungsverfahren dürfen nur eignungsrelevante Daten erhoben werden. Fragen nach Schwangerschaft, Religion (außer bei Tendenzbetrieben), Gewerkschaft, Gesundheit ohne Bezug zur Tätigkeit oder Vorstrafen (außer bei einschlägiger Relevanz) sind unzulässig. Nach Abschluss des Verfahrens sind die Daten abgelehnter Bewerber zu löschen - Standard ist eine Frist von sechs Monaten (Ende der AGG-Klagefrist plus Puffer). Eine längere Speicherung im Bewerberpool ist nur mit Einwilligung zulässig. Grundlage: Speicherbegrenzung.
4. Die Personalakte
Die Personalakte - digital oder Papier - darf nur Daten enthalten, die für das Arbeitsverhältnis erforderlich sind. Zugriffsrechte sind strikt zu begrenzen: HR und ggf. der direkte Vorgesetzte, nicht das gesamte Unternehmen. Gesundheitsdaten (Atteste, BEM-Unterlagen, Schwerbehinderung) sind in einem gesonderten, besonders geschützten Teil der Akte zu führen. Beschäftigte haben ein Einsichtsrecht in ihre Personalakte (§ 83 BetrVG) sowie das Auskunftsrecht nach Art. 15.
5. Mitarbeiterüberwachung - die roten Linien
Überwachung ist der teuerste Fehlerbereich (siehe H&M, Notebooksbilliger). Zulässig ist Kontrolle nur bei Verhältnismäßigkeit:
- Videoüberwachung: keine dauerhafte Überwachung von Arbeitsplätzen, keine Überwachung in Pausen-, Sozial- und Sanitärräumen; verdeckte Überwachung nur bei konkretem Straftatverdacht als letztes Mittel.
- E-Mail-/Internetkontrolle: bei erlaubter Privatnutzung stark eingeschränkt; klare Regelung nötig.
- GPS-Tracking: nur zur Disposition, nicht zur heimlichen Verhaltenskontrolle.
- Leistungs- und Verhaltenskontrolle durch Software (“Bossware”): nur mit Rechtsgrundlage und Mitbestimmung.
Systematische Überwachung kann eine Datenschutz-Folgenabschätzung nach Art. 35 auslösen.
6. Betriebsrat und Mitbestimmung
Der Betriebsrat hat bei der Einführung technischer Einrichtungen, die zur Überwachung geeignet sind, ein Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG). Betriebsvereinbarungen können nach Art. 88 DSGVO und § 26 Abs. 4 BDSG eigenständige Rechtsgrundlage für Datenverarbeitungen sein - sie müssen aber die Schranken der DSGVO (insb. Datenminimierung, Verhältnismäßigkeit) wahren. Der Betriebsrat selbst ist Teil des Verantwortlichen und muss Beschäftigtendaten datenschutzkonform behandeln.
7. Aufbewahrungs- und Löschfristen
| Datenart | Frist | Grundlage |
|---|---|---|
| Bewerberdaten (Absage) | 6 Monate | AGG-Klagefrist |
| Lohnkonten / Lohnabrechnung | 6 Jahre | § 41 EStG |
| Lohnsteuerunterlagen | bis zu 10 Jahre | § 147 AO |
| Sozialversicherungsunterlagen | bis zu 10 Jahre | § 28f SGB IV |
| Personalakte nach Austritt | i.d.R. bis 3 Jahre (Verjährung), Teile länger | § 195 BGB |
| Arbeitszeugnis-Grundlagen | bis Verjährung | § 195 BGB |
| Betriebliche Altersversorgung | bis 30 Jahre | § 18a BetrAVG |
Nach Austritt ist die Personalakte um nicht mehr benötigte Daten zu bereinigen; verbleibende Daten sind zu sperren und nach Fristablauf zu löschen (Recht auf Löschung).
8. Echte Bußgelder - was den Sektor betrifft
HR ist der Bereich mit den höchsten deutschen Beschäftigtendaten-Bußgeldern:
| Jahr | Behörde | Fall (Sektor) | Sanktion | Lehre für HR |
|---|---|---|---|---|
| 2020 | HmbBfDI | H&M Service GmbH | 35.300.000 € | keine heimlichen Persönlichkeitsprofile |
| 2021 | LfDI BW | Notebooksbilliger | 10.400.000 € | keine dauerhafte Videoüberwachung |
| 2019 | BlnBDI | Deutsche Wohnen (Immobilien) | 14.500.000 € | Löschfristen einhalten |
Der H&M-Fall ist der Referenzfall: Vorgesetzte protokollierten nach Krankheits- und Urlaubsrückkehr private Details (Krankheiten, Familienprobleme, Religion) der Beschäftigten in einer Datenbank - eine massive, heimliche Profilbildung. Die Lehre: keine Erhebung privater Daten ohne Erforderlichkeit, transparente Prozesse, strikte Zugriffskontrolle.
9. Häufige Fehler
- Bewerberdaten bleiben nach Absage unbegrenzt gespeichert.
- Gesundheitsdaten in der allgemeinen Personalakte statt gesondert geschützt.
- Zugriff auf Personaldaten für zu viele Personen.
- Überwachungssoftware ohne Rechtsgrundlage und ohne Betriebsrat.
- Einwilligungen ohne dokumentierte Freiwilligkeit.
- Kein AVV mit Lohnbüro, HR-Cloud (Personio, SAP SuccessFactors, Workday).
10. Tool-Unterstützung
Legiscope unterstützt Personalabteilungen beim Verarbeitungsverzeichnis für HR-Prozesse, bei AVV mit HR-Software-Anbietern, bei Betriebsvereinbarungen als Rechtsgrundlage und einem automatisierten Löschkonzept für Bewerber- und Personaldaten.
11. Datenpanne in der Personalabteilung
Typische Szenarien: eine Gehaltsliste, die versehentlich an den ganzen Verteiler geht, ein Fehlversand von Bewerbungsunterlagen, ein offen zugänglicher HR-Cloud-Ordner mit Personalakten oder ein gehacktes HR-System. Da Personaldaten oft besondere Kategorien (Gesundheit, Konfession) enthalten, ist das Risiko regelmäßig hoch - die 72-Stunden-Meldung nach Art. 33 DSGVO und die Benachrichtigung der Beschäftigten nach Art. 34 sind dann geboten. Der Betriebsrat ist einzubinden. Vorsorge: Zugriff je Rolle begrenzen, Verschlüsselung, BCC statt CC, gesonderter Schutz der Gesundheitsdaten. Meldewege: Datenpanne melden.
12. Umsetzung in fünf Schritten
- Datenlandkarte: Bewerber-, Beschäftigten-, Gesundheits- und Lohndaten sowie alle HR-Dienstleister (Lohnbüro, HR-Cloud) erfassen.
- Verzeichnis nach Art. 30 anlegen; Rechtsgrundlagen (§ 26 BDSG, Betriebsvereinbarung, Einwilligung) je Prozess dokumentieren.
- AVV und Betriebsvereinbarungen: AVV mit Lohnbüro und HR-Software, Betriebsvereinbarungen als Rechtsgrundlage rechtssicher gestalten.
- Löschkonzept: Bewerberdaten nach 6 Monaten, Personaldaten entlang der Verjährungs- und Steuerfristen automatisiert löschen.
- Überwachung und Schulung: Grenzen der Kontrolle festlegen, Betriebsrat beteiligen, HR-Team jährlich schulen.
13. Betroffenenrechte in der Praxis
Beschäftigte und Bewerber machen ihre Rechte gegenüber HR geltend - besonders häufig im Konflikt- oder Trennungsfall, mit der Monatsfrist (Art. 12 Abs. 3):
- Auskunft (Art. 15): Beschäftigte haben Anspruch auf umfassende Auskunft über ihre Personaldaten - einschließlich Leistungsbewertungen und Vermerken. Das Auskunftsrecht wird im Arbeitsrecht oft strategisch genutzt; ein sauber geführter Datenbestand ist der beste Schutz.
- Berichtigung (Art. 16): unrichtige Angaben korrigieren; Bewertungen als Meinung bleiben dokumentiert.
- Löschung (Art. 17): Bewerberdaten nach 6 Monaten; Personaldaten nach Austritt entlang der Verjährungs- und Steuerfristen (gesperrt statt sofort gelöscht).
- Widerspruch (Art. 21) gegen auf berechtigtem Interesse gestützte Verarbeitung.
- Beschwerde und Schadensersatz: Beschäftigte wenden sich an die Aufsichtsbehörde (Art. 77); rechtswidrige Verarbeitung kann Ansprüche nach Art. 82 auslösen - Arbeitsgerichte sprechen zunehmend immateriellen Schadensersatz zu.
Ein dokumentierter Auskunftsprozess, der HR-System, Zeiterfassung, E-Mail und Personalakte abdeckt, ist Pflicht - gerade weil das Auskunftsersuchen im Kündigungsstreit ein gängiges Mittel geworden ist.
Fazit
Die Personalabteilung trägt eines der höchsten DSGVO-Risiken im Unternehmen - der H&M-Fall mit 35,3 Mio. € belegt es. Entscheidend sind Datenminimierung im Bewerbungsverfahren, konsequente Löschfristen, ein gesonderter Schutz von Gesundheitsdaten, klare Grenzen der Überwachung und die Einbindung des Betriebsrats. Für Zeitarbeit und externe Personalvermittlung mit eigener Rechtslage siehe DSGVO Personalvermittlung und Zeitarbeit.
FAQ
Wie lange darf ich Bewerberdaten aufbewahren?
Bis zu sechs Monate nach der Absage (Ende der AGG-Klagefrist plus angemessener Puffer). Eine längere Speicherung im Bewerberpool ist nur mit ausdrücklicher Einwilligung zulässig.
Auf welche Rechtsgrundlage stütze ich Beschäftigtendaten?
Auf § 26 BDSG (Anbahnung, Durchführung und Beendigung des Arbeitsverhältnisses). Einwilligungen sind wegen des Abhängigkeitsverhältnisses nur unter engen, dokumentierten Voraussetzungen freiwillig.
Darf ich Beschäftigte per Video oder Software überwachen?
Nur bei Verhältnismäßigkeit. Dauerüberwachung von Arbeitsplätzen ist unzulässig, ebenso Überwachung in Sozial- und Sanitärräumen. Verdeckte Maßnahmen sind nur bei konkretem Straftatverdacht als letztes Mittel erlaubt - und stets mit Betriebsratsbeteiligung.
Muss der Betriebsrat beteiligt werden?
Ja, bei der Einführung technischer Einrichtungen, die zur Überwachung geeignet sind (§ 87 Abs. 1 Nr. 6 BetrVG). Betriebsvereinbarungen können zugleich Rechtsgrundlage nach Art. 88 DSGVO / § 26 Abs. 4 BDSG sein.
Wo müssen Gesundheitsdaten in der Personalakte stehen?
In einem gesonderten, besonders geschützten Teil mit eingeschränktem Zugriff - getrennt von der allgemeinen Personalakte. Sie sind besondere Kategorien nach Art. 9 und § 26 Abs. 3 BDSG.
Darf ich Bewerber googeln oder ihre Social-Media-Profile prüfen?
Nur eingeschränkt. Zulässig ist der Blick auf beruflich ausgerichtete Netzwerke (LinkedIn, Xing), die der Selbstdarstellung im Berufskontext dienen. Die Auswertung privater Profile (Instagram, Facebook, private Konten) ist regelmäßig unzulässig, weil der Bewerber dort keine berufliche Nutzung erwartet. Die Erhebung muss zudem eignungsrelevant sein - eine allgemeine Ausforschung verstößt gegen die Datenminimierung des § 26 BDSG.
Behördeninformationen: DSK und BfDI; Gesetzestext § 26 BDSG unter gesetze-im-internet.de/bdsg_2018.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial