Personalakten DSGVO-konform als PDF führen: Der Praxisleitfaden für HR-Manager

Die Umstellung von der Papierakte auf die digitale Personalakte im PDF-Format erfordert eine sorgfältige Planung. Zunächst müssen alle bestehenden Papierdokumente digitalisiert und in einer einheitlichen Struktur abgelegt werden. Bewährt hat sich eine Ordnerstruktur nach Dokumentenkategorien: Vertragsunterlagen, Vergütungsdokumente, Qualifikationsnachweise, Fehlzeiten und Korrespondenz. Jedes PDF sollte einheitlich benannt sein, zum Beispiel nach dem Schema 'Nachname_Vorname_Dokumenttyp_Datum'. Die Dateigröße sollte durch gezielte Komprimierung unter 2 MB gehalten werden, um HR-Systeme nicht zu überlasten und den internen Dateitransfer zu beschleunigen. Wichtig ist außerdem, dass alle PDFs mit Passwortschutz versehen werden, bevor sie im System gespeichert oder per E-Mail weitergegeben werden. Ein gut strukturiertes Ablagesystem erleichtert nicht nur den täglichen Arbeitsalltag, sondern ist auch Voraussetzung für die DSGVO-konforme Nachweisbarkeit aller Verarbeitungstätigkeiten.

1. 1Schritt 1: Mitarbeiter-Einwilligung zur digitalen Personalakte einholen oder auf § 26 BDSG als Rechtsgrundlage stützen und die gewählte Rechtsgrundlage im Verarbeitungsverzeichnis dokumentieren
2. 2Schritt 2: Alle Dokumente (Verträge, Zeugnisse, Gehaltsnachweise) als PDF digitalisieren und in klar definierten Kategorien strukturieren – Vertragsunterlagen, Vergütung, Qualifikation, Fehlzeiten, Korrespondenz
3. 3Schritt 3: PDFs komprimieren – Ziel unter 2 MB pro Dokument für effiziente Speicherung im HR-System und schnelle Übertragung bei internen Weiterleitungen
4. 4Schritt 4: Strikte Zugriffsrechte einrichten: Nur unmittelbare Vorgesetzte (nur eigene Mitarbeiter), HR-Abteilung und Betriebsrat (auf Anfrage) dürfen auf Personalakten zugreifen – kein genereller Admin-Zugang für alle IT-Mitarbeiter
5. 5Schritt 5: Löschkonzept implementieren: Nach Ausscheiden des Mitarbeiters PDFs nach gesetzlich definierten Aufbewahrungsfristen automatisiert oder manuell löschen und die Löschung dokumentieren

Der § 26 BDSG ist die zentrale Rechtsgrundlage für die Datenverarbeitung im Beschäftigungskontext und fungiert als lex specialis gegenüber der DSGVO. Er erlaubt die Verarbeitung personenbezogener Daten, wenn dies für die Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Das bedeutet konkret: In die Personalakte dürfen nur Daten, die einen unmittelbaren Bezug zum Beschäftigungsverhältnis haben. Was in die Personalakte gehört: Name, Adresse und Kontaktdaten, Arbeitszeugnisse, Gehaltsabrechnungen, Urlaubsanträge, Fehlzeiten (Anzahl der Abwesenheitstage – nicht die Diagnose!), Weiterbildungsnachweise, Abmahnungen und Kündigungen. Was nicht in die Personalakte gehört: Krankheitsdiagnosen, private Lebensumstände, Informationen über Gewerkschaftsmitgliedschaft (besonders geschützte Kategorie nach Art. 9 DSGVO), religiöse Überzeugungen oder politische Ansichten. Bei Verstößen gegen die DSGVO im HR-Bereich drohen empfindliche Bußgelder – bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes. Darüber hinaus können betroffene Mitarbeiter Schadensersatz nach Art. 82 DSGVO verlangen. Besonders riskant sind unnötig erhobene Gesundheitsdaten: Sie gelten als besondere Kategorie personenbezogener Daten nach Art. 9 DSGVO und dürfen grundsätzlich nicht verarbeitet werden – außer auf ausdrücklicher Einwilligung oder einer spezifischen gesetzlichen Grundlage. Der Betriebsrat hat nach § 80 BetrVG ein allgemeines Überwachungsrecht und kann in begründeten Einzelfällen Einsicht in relevante Unterlagen verlangen. Dabei ist jedoch das informationelle Selbstbestimmungsrecht des betroffenen Mitarbeiters zu wahren – eine pauschale Akteneinsicht für den Betriebsrat ist unzulässig. Mitarbeiter ihrerseits haben nach Art. 15 DSGVO und § 83 BetrVG das Recht auf vollständige Einsicht in ihre eigene Personalakte sowie auf Herausgabe einer Kopie – bei digitalen Akten typischerweise als PDF-Export.

Eine der häufigsten Datenschutzverletzungen im HR-Bereich ist der unkontrollierte Zugriff auf Personalakten. In vielen Unternehmen haben zu viele Personen Lesezugriff auf sensible Mitarbeiterdaten – das widerspricht dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO. Die Zugriffsmatrix für Personalakten-PDFs sollte klar geregelt sein: Der unmittelbare Vorgesetzte darf nur die Akten seiner eigenen direkten Mitarbeiter einsehen – keine Akten anderer Abteilungen, keine Akten von Mitarbeitern früherer Teams. Die HR-Abteilung hat Zugriff auf alle Personalakten, jedoch nur im Rahmen ihrer dienstlichen Aufgaben. Der Betriebsrat erhält Einsicht ausschließlich auf konkrete, begründete Anfrage und nur in die für den jeweiligen Fall relevanten Dokumente. Der Mitarbeiter selbst hat jederzeit das Recht, seine eigene Akte einzusehen oder eine Kopie als PDF anzufordern. Technisch umgesetzt wird dies am besten über rollenbasierte Zugriffskontrollen (Role-Based Access Control, RBAC) in der eingesetzten HR-Software. Jeder Zugriff auf eine Personalakte sollte im Audit-Trail protokolliert werden: Wer hat wann welche Akte geöffnet? Diese Protokolle sind im Datenschutzvorfall ein unverzichtbarer Nachweis. Besondere Vorsicht ist bei besonders sensiblen Daten geboten: Informationen zur Schwerbehinderung eines Mitarbeiters (Art. 9 DSGVO) oder zu einer Schwangerschaft dürfen nur einem eng begrenzten Personenkreis bekannt sein. Diese Dokumente sollten in einem gesonderten, besonders gesicherten Bereich der digitalen Akte abgelegt und mit zusätzlichen Zugriffsrestriktionen versehen werden. PDFs mit solchen Inhalten müssen zwingend verschlüsselt und passwortgeschützt gespeichert werden.

Eine der komplexesten Herausforderungen in der DSGVO-konformen Personalaktenverwaltung sind die unterschiedlichen Aufbewahrungsfristen verschiedener Dokumententypen. Ein einheitliches Löschdatum für alle Unterlagen gibt es nicht – jede Dokumentenkategorie hat ihre eigene gesetzliche Vorgabe. Arbeitsvertrag und vertragsrelevante Korrespondenz: Die zivilrechtliche Verjährungsfrist beträgt 3 Jahre (§ 195 BGB), in der Praxis empfehlen Datenschutzexperten jedoch eine Aufbewahrung von 7 Jahren nach Beendigung des Arbeitsverhältnisses, um mögliche Ansprüche aus dem Arbeitsverhältnis abzudecken. Gehaltsabrechnungen und Lohnsteuerunterlagen: Diese unterliegen der steuerrechtlichen Aufbewahrungspflicht von 10 Jahren nach § 147 AO. Das gilt sowohl für die Abrechnungen selbst als auch für zugehörige Nachweise wie Vermögenswirksame-Leistungen-Belege. Krankenkassenmeldungen und Sozialversicherungsunterlagen: 5 Jahre Aufbewahrungspflicht nach § 28f SGB IV. Arbeitszeugnisse: Hier empfiehlt sich eine dauerhafte Aufbewahrung, da Mitarbeiter auch Jahre später noch eine Kopie anfordern können und Zeugnisse als Nachweis früherer Beschäftigungsverhältnisse dienen. Abmahnungen: Nach Ablauf der Verjährungsfrist (in der Regel 2 bis 3 Jahre nach Ausspruch) besteht ein Anspruch des Mitarbeiters auf Entfernung aus der Personalakte. Nach dem Ausscheiden eines Mitarbeiters müssen alle Personalakten-PDFs nach Ablauf der jeweiligen Fristen unwiderruflich gelöscht werden. Die Löschung selbst muss dokumentiert werden – wann wurden welche Dokumente welcher Person gelöscht? Diese Löschprotokolle sind Teil des Nachweises der DSGVO-Konformität. Für verstorbene Mitarbeiter gelten die gleichen Fristen, da das BDSG personenbezogene Daten bis zu einem gewissen Grad auch posthum schützt.