Datenschutz

DSGVO Personalabteilung 2026: Pflichten + Fristen + Bußgelder (HR)

DSGVO in der Personalabteilung 2026: Bewerberdaten, Personalakte, § 26 BDSG, Mitarbeiterüberwachung, Betriebsrat und Löschfristen - mit H&M-Bußgeld 35,3 Mio €.

In einem Satz. Eine Personalabteilung wird DSGVO-konform, indem sie Beschäftigtendaten auf § 26 BDSG stützt, Bewerberdaten nach spätestens sechs Monaten löscht, die Personalakte auf das für das Arbeitsverhältnis Erforderliche begrenzt, Mitarbeiterüberwachung nur unter strengen Voraussetzungen und mit Beteiligung des Betriebsrats einsetzt und für HR-Software Auftragsverarbeitungsverträge führt.

Was muss eine Personalabteilung für DSGVO-Konformität tun? HR verarbeitet Daten über den gesamten Beschäftigtenlebenszyklus - von der Bewerbung über die Personalakte bis zum Zeugnis - darunter besondere Kategorien (Gesundheit, Konfession, Gewerkschaft). Konformität heißt: Rechtsgrundlage § 26 BDSG korrekt anwenden, Datenminimierung im Bewerbungsverfahren, klare Löschfristen, Grenzen der Überwachung wahren, den Betriebsrat einbinden und HR-Systeme als Auftragsverarbeitung absichern. Dieser Leitfaden ergänzt den Beitrag DSGVO Personalwesen und Mitarbeiterdaten. Grundlagen: DSGVO Anforderungen.

Wichtige Punkte

  • Rechtsgrundlage für Beschäftigtendaten: § 26 BDSG (bald ggf. Beschäftigtendatengesetz).
  • Bewerberdaten spätestens 6 Monate nach Absage löschen (AGG-Klagefrist).
  • Personalakte nur mit erforderlichen Daten; kein Sammeln auf Vorrat.
  • Mitarbeiterüberwachung nur bei konkretem Anlass und Verhältnismäßigkeit.
  • H&M 35,3 Mio. € - das teuerste HR-Bußgeld Deutschlands.

1. Welche Daten HR verarbeitet

Die Personalabteilung verarbeitet Bewerber- und Beschäftigtendaten, Sozialversicherungs- und Steuerdaten, Gesundheitsdaten (Krankmeldungen, BEM, Schwerbehinderung), Konfession (Kirchensteuer), Gewerkschaftszugehörigkeit und Leistungsdaten. Vieles davon sind besondere Kategorien nach Art. 9 DSGVO und unterliegt dem höchsten Schutzniveau.

2. Rechtsgrundlagen pro Verarbeitung

Verarbeitung Rechtsgrundlage
Bewerbungsverfahren § 26 Abs. 1 BDSG (Anbahnung)
Durchführung Arbeitsverhältnis § 26 Abs. 1 BDSG
Lohn / Sozialversicherung Art. 6 Abs. 1 lit. c; § 26 BDSG
Gesundheitsdaten (Krankheit, BEM) § 26 Abs. 3 BDSG / Art. 9 Abs. 2 lit. b
Betriebsvereinbarung als Grundlage Art. 88 DSGVO i.V.m. § 26 Abs. 4 BDSG
Einwilligung (z. B. Fotos, freiwillige Benefits) § 26 Abs. 2 BDSG
Bewerberpool § 26 Abs. 2 BDSG (Einwilligung)

Einwilligungen im Beschäftigtenverhältnis sind wegen des Über-/Unterordnungsverhältnisses nur unter engen Voraussetzungen freiwillig (§ 26 Abs. 2 BDSG) - die Freiwilligkeit ist zu dokumentieren.

3. Bewerbungsverfahren und Datenminimierung

Im Bewerbungsverfahren dürfen nur eignungsrelevante Daten erhoben werden. Fragen nach Schwangerschaft, Religion (außer bei Tendenzbetrieben), Gewerkschaft, Gesundheit ohne Bezug zur Tätigkeit oder Vorstrafen (außer bei einschlägiger Relevanz) sind unzulässig. Nach Abschluss des Verfahrens sind die Daten abgelehnter Bewerber zu löschen - Standard ist eine Frist von sechs Monaten (Ende der AGG-Klagefrist plus Puffer). Eine längere Speicherung im Bewerberpool ist nur mit Einwilligung zulässig. Grundlage: Speicherbegrenzung.

4. Die Personalakte

Die Personalakte - digital oder Papier - darf nur Daten enthalten, die für das Arbeitsverhältnis erforderlich sind. Zugriffsrechte sind strikt zu begrenzen: HR und ggf. der direkte Vorgesetzte, nicht das gesamte Unternehmen. Gesundheitsdaten (Atteste, BEM-Unterlagen, Schwerbehinderung) sind in einem gesonderten, besonders geschützten Teil der Akte zu führen. Beschäftigte haben ein Einsichtsrecht in ihre Personalakte (§ 83 BetrVG) sowie das Auskunftsrecht nach Art. 15.

5. Mitarbeiterüberwachung - die roten Linien

Überwachung ist der teuerste Fehlerbereich (siehe H&M, Notebooksbilliger). Zulässig ist Kontrolle nur bei Verhältnismäßigkeit:

  • Videoüberwachung: keine dauerhafte Überwachung von Arbeitsplätzen, keine Überwachung in Pausen-, Sozial- und Sanitärräumen; verdeckte Überwachung nur bei konkretem Straftatverdacht als letztes Mittel.
  • E-Mail-/Internetkontrolle: bei erlaubter Privatnutzung stark eingeschränkt; klare Regelung nötig.
  • GPS-Tracking: nur zur Disposition, nicht zur heimlichen Verhaltenskontrolle.
  • Leistungs- und Verhaltenskontrolle durch Software (“Bossware”): nur mit Rechtsgrundlage und Mitbestimmung.

Systematische Überwachung kann eine Datenschutz-Folgenabschätzung nach Art. 35 auslösen.

6. Betriebsrat und Mitbestimmung

Der Betriebsrat hat bei der Einführung technischer Einrichtungen, die zur Überwachung geeignet sind, ein Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG). Betriebsvereinbarungen können nach Art. 88 DSGVO und § 26 Abs. 4 BDSG eigenständige Rechtsgrundlage für Datenverarbeitungen sein - sie müssen aber die Schranken der DSGVO (insb. Datenminimierung, Verhältnismäßigkeit) wahren. Der Betriebsrat selbst ist Teil des Verantwortlichen und muss Beschäftigtendaten datenschutzkonform behandeln.

7. Aufbewahrungs- und Löschfristen

Datenart Frist Grundlage
Bewerberdaten (Absage) 6 Monate AGG-Klagefrist
Lohnkonten / Lohnabrechnung 6 Jahre § 41 EStG
Lohnsteuerunterlagen bis zu 10 Jahre § 147 AO
Sozialversicherungsunterlagen bis zu 10 Jahre § 28f SGB IV
Personalakte nach Austritt i.d.R. bis 3 Jahre (Verjährung), Teile länger § 195 BGB
Arbeitszeugnis-Grundlagen bis Verjährung § 195 BGB
Betriebliche Altersversorgung bis 30 Jahre § 18a BetrAVG

Nach Austritt ist die Personalakte um nicht mehr benötigte Daten zu bereinigen; verbleibende Daten sind zu sperren und nach Fristablauf zu löschen (Recht auf Löschung).

8. Echte Bußgelder - was den Sektor betrifft

HR ist der Bereich mit den höchsten deutschen Beschäftigtendaten-Bußgeldern:

Jahr Behörde Fall (Sektor) Sanktion Lehre für HR
2020 HmbBfDI H&M Service GmbH 35.300.000 € keine heimlichen Persönlichkeitsprofile
2021 LfDI BW Notebooksbilliger 10.400.000 € keine dauerhafte Videoüberwachung
2019 BlnBDI Deutsche Wohnen (Immobilien) 14.500.000 € Löschfristen einhalten

Der H&M-Fall ist der Referenzfall: Vorgesetzte protokollierten nach Krankheits- und Urlaubsrückkehr private Details (Krankheiten, Familienprobleme, Religion) der Beschäftigten in einer Datenbank - eine massive, heimliche Profilbildung. Die Lehre: keine Erhebung privater Daten ohne Erforderlichkeit, transparente Prozesse, strikte Zugriffskontrolle.

9. Häufige Fehler

  • Bewerberdaten bleiben nach Absage unbegrenzt gespeichert.
  • Gesundheitsdaten in der allgemeinen Personalakte statt gesondert geschützt.
  • Zugriff auf Personaldaten für zu viele Personen.
  • Überwachungssoftware ohne Rechtsgrundlage und ohne Betriebsrat.
  • Einwilligungen ohne dokumentierte Freiwilligkeit.
  • Kein AVV mit Lohnbüro, HR-Cloud (Personio, SAP SuccessFactors, Workday).

10. Tool-Unterstützung

Legiscope unterstützt Personalabteilungen beim Verarbeitungsverzeichnis für HR-Prozesse, bei AVV mit HR-Software-Anbietern, bei Betriebsvereinbarungen als Rechtsgrundlage und einem automatisierten Löschkonzept für Bewerber- und Personaldaten.

11. Datenpanne in der Personalabteilung

Typische Szenarien: eine Gehaltsliste, die versehentlich an den ganzen Verteiler geht, ein Fehlversand von Bewerbungsunterlagen, ein offen zugänglicher HR-Cloud-Ordner mit Personalakten oder ein gehacktes HR-System. Da Personaldaten oft besondere Kategorien (Gesundheit, Konfession) enthalten, ist das Risiko regelmäßig hoch - die 72-Stunden-Meldung nach Art. 33 DSGVO und die Benachrichtigung der Beschäftigten nach Art. 34 sind dann geboten. Der Betriebsrat ist einzubinden. Vorsorge: Zugriff je Rolle begrenzen, Verschlüsselung, BCC statt CC, gesonderter Schutz der Gesundheitsdaten. Meldewege: Datenpanne melden.

12. Umsetzung in fünf Schritten

  1. Datenlandkarte: Bewerber-, Beschäftigten-, Gesundheits- und Lohndaten sowie alle HR-Dienstleister (Lohnbüro, HR-Cloud) erfassen.
  2. Verzeichnis nach Art. 30 anlegen; Rechtsgrundlagen (§ 26 BDSG, Betriebsvereinbarung, Einwilligung) je Prozess dokumentieren.
  3. AVV und Betriebsvereinbarungen: AVV mit Lohnbüro und HR-Software, Betriebsvereinbarungen als Rechtsgrundlage rechtssicher gestalten.
  4. Löschkonzept: Bewerberdaten nach 6 Monaten, Personaldaten entlang der Verjährungs- und Steuerfristen automatisiert löschen.
  5. Überwachung und Schulung: Grenzen der Kontrolle festlegen, Betriebsrat beteiligen, HR-Team jährlich schulen.

13. Betroffenenrechte in der Praxis

Beschäftigte und Bewerber machen ihre Rechte gegenüber HR geltend - besonders häufig im Konflikt- oder Trennungsfall, mit der Monatsfrist (Art. 12 Abs. 3):

  • Auskunft (Art. 15): Beschäftigte haben Anspruch auf umfassende Auskunft über ihre Personaldaten - einschließlich Leistungsbewertungen und Vermerken. Das Auskunftsrecht wird im Arbeitsrecht oft strategisch genutzt; ein sauber geführter Datenbestand ist der beste Schutz.
  • Berichtigung (Art. 16): unrichtige Angaben korrigieren; Bewertungen als Meinung bleiben dokumentiert.
  • Löschung (Art. 17): Bewerberdaten nach 6 Monaten; Personaldaten nach Austritt entlang der Verjährungs- und Steuerfristen (gesperrt statt sofort gelöscht).
  • Widerspruch (Art. 21) gegen auf berechtigtem Interesse gestützte Verarbeitung.
  • Beschwerde und Schadensersatz: Beschäftigte wenden sich an die Aufsichtsbehörde (Art. 77); rechtswidrige Verarbeitung kann Ansprüche nach Art. 82 auslösen - Arbeitsgerichte sprechen zunehmend immateriellen Schadensersatz zu.

Ein dokumentierter Auskunftsprozess, der HR-System, Zeiterfassung, E-Mail und Personalakte abdeckt, ist Pflicht - gerade weil das Auskunftsersuchen im Kündigungsstreit ein gängiges Mittel geworden ist.

Fazit

Die Personalabteilung trägt eines der höchsten DSGVO-Risiken im Unternehmen - der H&M-Fall mit 35,3 Mio. € belegt es. Entscheidend sind Datenminimierung im Bewerbungsverfahren, konsequente Löschfristen, ein gesonderter Schutz von Gesundheitsdaten, klare Grenzen der Überwachung und die Einbindung des Betriebsrats. Für Zeitarbeit und externe Personalvermittlung mit eigener Rechtslage siehe DSGVO Personalvermittlung und Zeitarbeit.

FAQ

Wie lange darf ich Bewerberdaten aufbewahren?

Bis zu sechs Monate nach der Absage (Ende der AGG-Klagefrist plus angemessener Puffer). Eine längere Speicherung im Bewerberpool ist nur mit ausdrücklicher Einwilligung zulässig.

Auf welche Rechtsgrundlage stütze ich Beschäftigtendaten?

Auf § 26 BDSG (Anbahnung, Durchführung und Beendigung des Arbeitsverhältnisses). Einwilligungen sind wegen des Abhängigkeitsverhältnisses nur unter engen, dokumentierten Voraussetzungen freiwillig.

Darf ich Beschäftigte per Video oder Software überwachen?

Nur bei Verhältnismäßigkeit. Dauerüberwachung von Arbeitsplätzen ist unzulässig, ebenso Überwachung in Sozial- und Sanitärräumen. Verdeckte Maßnahmen sind nur bei konkretem Straftatverdacht als letztes Mittel erlaubt - und stets mit Betriebsratsbeteiligung.

Muss der Betriebsrat beteiligt werden?

Ja, bei der Einführung technischer Einrichtungen, die zur Überwachung geeignet sind (§ 87 Abs. 1 Nr. 6 BetrVG). Betriebsvereinbarungen können zugleich Rechtsgrundlage nach Art. 88 DSGVO / § 26 Abs. 4 BDSG sein.

Wo müssen Gesundheitsdaten in der Personalakte stehen?

In einem gesonderten, besonders geschützten Teil mit eingeschränktem Zugriff - getrennt von der allgemeinen Personalakte. Sie sind besondere Kategorien nach Art. 9 und § 26 Abs. 3 BDSG.

Darf ich Bewerber googeln oder ihre Social-Media-Profile prüfen?

Nur eingeschränkt. Zulässig ist der Blick auf beruflich ausgerichtete Netzwerke (LinkedIn, Xing), die der Selbstdarstellung im Berufskontext dienen. Die Auswertung privater Profile (Instagram, Facebook, private Konten) ist regelmäßig unzulässig, weil der Bewerber dort keine berufliche Nutzung erwartet. Die Erhebung muss zudem eignungsrelevant sein - eine allgemeine Ausforschung verstößt gegen die Datenminimierung des § 26 BDSG.

Behördeninformationen: DSK und BfDI; Gesetzestext § 26 BDSG unter gesetze-im-internet.de/bdsg_2018.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →