DSGVO-konforme Personalakten als PDF: Der HR-Manager-Leitfaden
Personalakten gehören zu den sensibelsten Dokumenten eines Unternehmens. Sie enthalten neben den Stammdaten des Mitarbeiters auch Informationen über Gehalt, Krankheiten, Abmahnungen, Leistungsbeurteilungen und private Umstände. Die DSGVO schützt diese Daten als personenbezogene Daten und stellt hohe Anforderungen an deren Verarbeitung, Speicherung und Löschung. Die Digitalisierung der Personalakte als PDF bietet zahlreiche Vorteile: einfacher Zugriff für berechtigte Personen, kein physischer Platzbedarf, sichere Übertragbarkeit und einfache Suche. Gleichzeitig bringt die digitale Personalakte neue Risiken mit sich: Datenpannen durch unsichere Übertragung, unbefugter Zugriff auf ungeschützte PDFs, und das Risiko, Dokumente versehentlich zu ändern oder zu löschen. Dieser Leitfaden zeigt HR-Managerinnen und HR-Managern, wie sie Personalakten DSGVO-konform als PDF digitalisieren, strukturieren und verwalten. Mit den richtigen kostenlosen Tools auf LazyPDF.com lassen sich alle notwendigen Schritte ohne teure HR-Software umsetzen – ideal für kleine und mittlere Unternehmen.
Was in der digitalen Personalakte stehen darf – und was nicht
Das Arbeitsrecht und die DSGVO definieren gemeinsam, welche Informationen in einer Personalakte gespeichert werden dürfen. Grundsätzlich gilt das Prinzip der Datensparsamkeit: Es dürfen nur Daten gespeichert werden, die für das Arbeitsverhältnis notwendig sind. Zulässig in der Personalakte sind: Bewerbungsunterlagen, Arbeitsvertrag und Nachträge, Lohnnachweise und Gehaltsänderungen, Beurteilungen und Zeugnisse, Abmahnungen und Abmahnungserklärungen, Fortbildungsnachweise, Krankmeldungen (nur die Bescheinigung, nicht die Diagnose), und steuerliche Dokumente wie die Lohnsteuerkarte. Nicht in die Personalakte gehören: Informationen über Gewerkschaftszugehörigkeit, politische Ansichten, Religion (außer für steuerliche Zwecke), private E-Mails oder Gespräche, sowie Informationen über Krankheitsdiagnosen. Diese besonders sensiblen Kategorien nach Art. 9 DSGVO erfordern eine ausdrückliche Einwilligung und sollten, wenn überhaupt, in einer separaten, besonders geschützten Akte geführt werden. Für HR-Manager bedeutet das bei der PDF-Digitalisierung: Vor dem Scannen muss geprüft werden, ob alle Dokumente tatsächlich in die Personalakte gehören. Unzulässige Dokumente dürfen nicht digitalisiert werden.
Personalakten Schritt für Schritt als DSGVO-konformes PDF erstellen
Die Digitalisierung bestehender Papier-Personalakten ist für viele Unternehmen ein wichtiger Schritt zur modernen HR-Verwaltung. Der Prozess erfordert Sorgfalt und ein klares System. Zunächst wird die Papierakte gesichtet: Veraltete oder unzulässige Dokumente werden ausgesondert und DSGVO-konform vernichtet. Dann werden die verbleibenden Dokumente in einer logischen Reihenfolge gescannt. Empfehlenswert ist eine Reihenfolge nach Dokumenttyp: Stammdaten und Vertrag → Gehaltsunterlagen → Zeugnisse und Beurteilungen → Abmahnungen → Weiterbildungen → Korrespondenz. Das Ergebnis sind mehrere PDF-Dokumente, die mit LazyPDF Merge zu einer vollständigen digitalen Personalakte zusammengeführt werden. Diese Gesamtakte wird dann mit einem starken Passwort geschützt – der Zugangsschlüssel wird nur den berechtigten HR-Mitarbeitern mitgeteilt.
- 1Papier-Personalakte sichten: veraltete oder unzulässige Dokumente aussortieren und DSGVO-konform (Aktenvernichter Stufe P-4 oder höher) vernichten
- 2Verbleibende Dokumente in logischer Reihenfolge einscannen (mind. 200 DPI, Farbe), als PDF speichern – Dateiname: MitarbeiterID_Dokumenttyp.pdf
- 3Einzelne PDFs mit LazyPDF Merge zur vollständigen Personalakte zusammenführen; mit LazyPDF Compress Dateigröße optimieren
- 4Mit LazyPDF Protect starken Passwortschutz setzen (Bearbeiten sperren, Lesen und Drucken erlauben) – Passwort nur an berechtigte HR-Mitarbeiter weitergeben
Zugriffskontrollen und Berechtigungskonzept für digitale Personalakten
Eine der zentralen DSGVO-Anforderungen für Personalakten ist die Zugangskontrolle: Nur berechtigte Personen dürfen Einblick in Personalakten erhalten. Das gilt nach § 83 BetrVG auch für den Betriebsrat – dieser hat nur unter bestimmten Voraussetzungen Einblick in einzelne Personalakten. Für digitale PDF-Personalakten bedeutet das: Ein klares Berechtigungskonzept muss dokumentieren, wer auf welche Akten zugreifen darf. In der Praxis: HR-Manager haben Vollzugriff, Vorgesetzte haben Lesezugriff auf die Akten ihrer direkten Mitarbeiter (nur bestimmte Abschnitte), und Mitarbeiter selbst haben nach Art. 15 DSGVO das Recht auf Einsicht in ihre eigene Personalakte. Technisch lässt sich das durch Passwortschutz mit unterschiedlichen Zugangsniveaus umsetzen. Oder noch besser: durch ein Personalverwaltungssystem (HRMS), das Zugriffsrechte automatisch verwaltet. Für kleinere Unternehmen ohne HRMS sind passwortgeschützte PDFs in einem strukturierten Ordnersystem mit Zugriffsrechten auf Betriebssystemebene eine praktikable Lösung.
Löschfristen für Personalakten: DSGVO-konforme Archivierung und Vernichtung
Die DSGVO verlangt, dass personenbezogene Daten nicht länger gespeichert werden als notwendig. Für Personalakten gibt es unterschiedliche Fristen je nach Dokumenttyp: Arbeitszeugnisse und Beurteilungen sollten zwei bis drei Jahre nach Ausscheiden aufbewahrt werden. Abmahnungen verlieren ihre Wirkung nach etwa zwei bis drei Jahren und sollten dann aus der Akte entfernt werden. Lohnabrechnungen und steuerliche Unterlagen unterliegen der zehnjährigen Aufbewahrungspflicht nach § 147 AO. Für die Praxis bedeutet das: Nicht die gesamte Personalakte wird zum gleichen Zeitpunkt gelöscht. Stattdessen werden einzelne Dokumente nach Ablauf ihrer jeweiligen Aufbewahrungsfrist aus der Akte entfernt. Mit LazyPDF Split können einzelne Seiten oder Abschnitte aus einer PDF-Akte herausgetrennt werden. Nach Beendigung des Arbeitsverhältnisses muss ein Löschplan für die gesamte Personalakte erstellt werden. Die späteste Löschfrist ergibt sich aus dem längsten aufzubewahrenden Dokument – in der Regel zehn Jahre für Lohnunterlagen. Ab diesem Zeitpunkt muss die Akte vollständig und unwiderruflich gelöscht werden.
Häufig gestellte Fragen
Hat ein Mitarbeiter das Recht, Einsicht in seine digitale Personalakte zu nehmen?
Ja. Art. 15 DSGVO gewährt Mitarbeitern das Recht auf Auskunft über alle sie betreffenden personenbezogenen Daten. Das schließt die Personalakte ein. Das Unternehmen muss innerhalb eines Monats Auskunft erteilen und eine Kopie der gespeicherten Daten bereitstellen. Diese Kopie kann als PDF bereitgestellt werden. Das Unternehmen darf dabei Daten Dritter (z. B. Bewertungen über Kollegen) schwärzen, aber nicht weglassen. Für die erste Auskunft ist keine Gebühr zu erheben.
Dürfen Personalakten auf Google Drive oder Dropbox gespeichert werden?
Das ist rechtlich problematisch. US-amerikanische Cloud-Dienste wie Google Drive oder Dropbox erfordern für die DSGVO-konforme Nutzung einen gültigen Datentransferrahmen (derzeit das EU-US Data Privacy Framework) und einen Auftragsverarbeitungsvertrag. Außerdem ist nicht garantiert, dass die Daten nur in der EU gespeichert werden. Empfehlenswert sind EU-basierte Lösungen wie Nextcloud (selbst gehostet) oder spezialisierte HR-Systeme mit deutschem Hosting. Wenn doch ein US-Dienst genutzt wird, müssen alle Dateien zusätzlich verschlüsselt gespeichert werden.
Was ist bei einer Datenpanne mit Personalakten zu tun?
Bei einer Datenpanne – z.B. Versand einer unverschlüsselten Personalakte an die falsche Person oder Diebstahl eines Laptops – muss der Arbeitgeber innerhalb von 72 Stunden die zuständige Datenschutzbehörde informieren (Art. 33 DSGVO), wenn ein Risiko für die betroffenen Mitarbeiter besteht. War die Datei passwortgeschützt und verschlüsselt, reduziert das das Risiko erheblich. Betroffene Mitarbeiter müssen ebenfalls informiert werden, wenn ein hohes Risiko für ihre Rechte besteht. Eine Dokumentation der Datenpanne und der ergriffenen Maßnahmen ist Pflicht.