24. März 2021 | Artikel drucken | |

Datenschutz Personalakten 2026: Aufbewahrungsfristen, digitale Entgeltakte und NIS2-Pflichten

10 Min. Lesezeit

Zuletzt aktualisiert: März 2026 | Ursprünglich veröffentlicht: 2021

Ab Januar 2027 wird die digitale Entgeltakte Pflicht. Gleichzeitig verhängen deutsche Datenschutzbehörden Bussgelder in Rekordhöhe – 900.000 Euro allein für zu lange aufbewahrte Daten. Wer Personalakten noch nach dem Schema von 2020 verwaltet, riskiert nicht nur Compliance-Verstösse, sondern auch persönliche Geschäftsführerhaftung unter NIS2.

Das Wichtigste in Kürze

  • Ab 1. Januar 2027 müssen alle Arbeitgeber Entgeltunterlagen digital führen – Befreiungsanträge laufen Ende 2026 aus (7. SGB-IV-Änderungsgesetz).
  • Deutsche Datenschutzbehörden verhängten 2024 insgesamt 266 Bussgelder mit 2,5 Millionen Euro Gesamtsumme – höchstes Einzelbussgeld: 900.000 Euro für überzogene Aufbewahrung (dsgvo-portal.de).
  • 37 Prozent aller bei Cyberangriffen gestohlenen Daten in Deutschland sind Personaldaten – häufiger als Finanzdaten (KPMG Cyberstudie 2024).
  • Das geplante Beschäftigtendatengesetz ist nach dem Koalitionsbruch November 2024 gescheitert – es gilt weiterhin nur § 26 BDSG als Auffangtatbestand.
  • NIS2 ist seit Dezember 2025 in Kraft: Sicherheitsvorfälle bei HR-Systemen lösen jetzt sowohl NIS2-Meldepflicht als auch DSGVO-Datenpannenmeldung aus.

Warum Personalakten 2026 ein strategisches Sicherheitsthema sind

Personalakten galten lange als reines HR-Thema. Das hat sich grundlegend geändert. Drei Entwicklungen zwingen Unternehmen, den Umgang mit Beschäftigtendaten neu zu denken: die digitale Entgeltakte-Pflicht ab 2027, verschärfte Durchsetzung durch die Datenschutzbehörden und die NIS2-Meldepflichten, die erstmals auch HR-Systeme in den Scope der Cybersecurity-Regulierung bringen.

Der Grund: Personalakten sind eine der wertvollsten Datensammlungen im Unternehmen. Sie enthalten Bankverbindungen, Steuer-IDs, Gesundheitsdaten, Leistungsbeurteilungen – genug Material für Identitätsdiebstahl, Erpressung oder gezieltes Social Engineering gegen Führungskräfte.

37 %
aller bei Cyberangriffen gestohlenen Daten in Deutschland sind Personaldaten
Quelle: KPMG Cyberstudie, 2024

Rechtlicher Rahmen 2026: Was gilt und was gescheitert ist

Die Hoffnung auf ein eigenständiges Beschäftigtendatengesetz hat sich zerschlagen. Das Bundesministerium für Arbeit und Soziales hatte im Oktober 2024 einen Referentenentwurf vorgelegt, der erstmals klare Regeln für Bewerberdaten, Gesundheitsüberwachung am Arbeitsplatz und KI-gestützte Personalentscheidungen definieren sollte. Nach dem Koalitionsbruch am 6. November 2024 erreichte der Entwurf das Parlament nicht mehr. Im aktuellen Koalitionsvertrag der CDU/CSU-SPD-Regierung taucht das Thema nicht auf.

Praktisch bedeutet das: Für den Beschäftigtendatenschutz gilt weiterhin § 26 BDSG als nationale Öffnungsklausel zur DSGVO. Eine Vorschrift, die selbst Datenschutzjuristen als „dünn“ bezeichnen, weil sie im Wesentlichen nur regelt, dass Beschäftigtendaten verarbeitet werden dürfen, soweit dies für das Beschäftigungsverhältnis erforderlich ist.

Die DSGVO-Durchsetzung in Deutschland hat sich dagegen spürbar verschärft. Die DLA Piper Studie vom Januar 2025 dokumentiert europaweit 1,2 Milliarden Euro an Bussgeldern für 2024. In Deutschland selbst liefen 266 Verfahren mit einer Gesamtsumme von 2,5 Millionen Euro. Das höchste Einzelbussgeld betrug 900.000 Euro – verhängt gegen einen Dienstleister, der Daten fünf Jahre über die Aufbewahrungsfrist hinaus ohne Rechtsgrundlage gespeichert hatte.

„Die Hamburger Datenschutzbehörde hatte 2024 doppelt so viele Bussgeldverfahren wie im gesamten Vorjahr. Die sächsische Behörde erreichte in der ersten Jahreshälfte bereits das Niveau des Gesamtjahres 2023.“
– Zusammenfassung der Enforcement-Trends (security-insider.de, 2024)

Zwei Fälle, die jedes Unternehmen kennen sollte

Fall eins: Ein Kulturunternehmen hatte systematisch Informationen über den Gesundheitszustand von Beschäftigten und deren Interesse an der Gründung eines Betriebsrates dokumentiert. Zweck: Probezeitkündigungen erleichtern. Die Datenschutzbehörde verhängte 215.000 Euro Bussgeld wegen Verstosses gegen Art. 9 DSGVO (besondere Datenkategorien) und § 26 BDSG.

Fall zwei: Verdeckte Videoüberwachung von drei Praktikanten über in Steckdosen versteckte Kameras. Ohne Kenntnis der Betroffenen, ohne Rechtsgrundlage. Bussgeld: 4.000 Euro – der finanzielle Schaden war gering, der Reputationsschaden für das Unternehmen dagegen erheblich.

Beide Fälle zeigen: Die Behörden prüfen nicht nur technische Massnahmen, sondern auch die Absicht hinter der Datenverarbeitung. Wer Personalakten als Instrument gegen Beschäftigte missbraucht, zahlt mehrfach.

Aufbewahrungsfristen: Die Tabelle, die in jede HR-Abteilung gehört

Es gibt keine einheitliche gesetzliche Frist für „die Personalakte“. Verschiedene Dokumente unterliegen verschiedenen Aufbewahrungsvorschriften – und das ist einer der häufigsten Compliance-Fehler. 900.000 Euro Bussgeld für überzogene Speicherung zeigen, wohin pauschale „wir heben alles 10 Jahre auf“-Regelungen führen.

Dokumententyp Frist Rechtsgrundlage
Lohnsteuerunterlagen, ELStAM-Belege 6 Jahre § 41 Abs. 1 EStG, § 147 AO
Lohnlisten, Buchungsbelege 10 Jahre § 257 HGB, § 147 AO
Sozialversicherungsnachweise 5 Jahre SGB IV
Mindestlohn-Nachweise 2 Jahre MiLoG
Betriebliche Altersvorsorge bis 30 Jahre BetrAVG (Verjährungsrecht)
Krankmeldungen (unter 6 Wochen/Jahr) 12 Monate DSGVO-Datensparsamkeit
Allgemeine arbeitsrechtliche Ansprüche 3 Jahre §§ 195, 199 BGB

Die Grundregel: Gesetzliche Aufbewahrungspflichten gehen dem DSGVO-Löschgebot vor. Aber sobald die letzte anwendbare Frist abgelaufen ist, greift Art. 17 DSGVO – und es besteht eine aktive Löschpflicht. Wer keine automatisierten Löschkonzepte hat, speichert früher oder später rechtswidrig.

Digitale Entgeltakte: Was ab 2027 Pflicht wird

Das 7. SGB-IV-Änderungsgesetz macht ab dem 1. Januar 2027 die digitale Führung von Entgeltunterlagen für alle Arbeitgeber verpflichtend. Die bisherige Möglichkeit, Befreiungsanträge zu stellen, läuft Ende 2026 aus. Betroffen sind entgelt- und sozialversicherungsrelevante Unterlagen:

  • Immatrikulationsnachweise und Mitgliedsbescheinigungen der Krankenkassen
  • Arbeitszeitnachweise und Entgeltabrechnungen
  • Lohnrelevante Bescheinigungen und Sozialversicherungsmeldungen

Wichtig: Die Pflicht betrifft den Entgelt-Kernbestand, nicht die gesamte Personalakte. Leistungsbeurteilungen, Abmahnungen oder Weiterbildungsnachweise können weiterhin in Papierform geführt werden – allerdings stellt sich dann die Frage, ob ein Parallelbetrieb von digital und analog sinnvoll ist.

Die Anforderungen gehen über einfache PDF-Ablage hinaus: revisionssichere Protokollierung, strukturierte Organisation, eindeutige Zuordnung zum Beschäftigten. Systeme, die diese Anforderungen nicht erfüllen, sind ab 2027 nicht rechtskonform.

Aufbewahrung nicht-digitaler Personalakten

Auch wenn die Digitalisierung voranschreitet: Papier-Personalakten bleiben in vielen Unternehmen Realität. Das BDSG betont in § 32 Abs. 2 ausdrücklich die Papierform der Personalakte und stellt besondere Anforderungen an deren physische Sicherung.

Daten- und Sicherheitsschränke müssen definierten EU-Normen genügen: EN 1143-1 für zertifizierten Einbruchschutz, EN 1047-1 für Feuer- und Brandschutz. Mit Tresoren oder Papiersicherungsschränken von Kaiser+Kraft lassen sich sensible Personalakten nach diesen Standards sicher aufbewahren.

Anzeige

Was den Einblick in die Personalakte betrifft: Nur Befugte dürfen Einsicht nehmen. Selbst Vorgesetzte haben keinen beliebigen Zugriff – ein Grundsatzurteil des Bundesarbeitsgerichts (Az. 5 AZR 215/86) begrenzt den Kreis der Einsichtsberechtigten auf das absolute Minimum. Einsicht ist nur im Rahmen einer konkreten Personalangelegenheit oder zur Personalverwaltung gestattet.

NIS2 und HR: Wenn Personalakten zum Cybersecurity-Thema werden

Seit dem 6. Dezember 2025 ist das NIS2-Umsetzungsgesetz in Kraft. Rund 29.500 Unternehmen in Deutschland sind betroffen – alle mit mehr als 50 Mitarbeitern oder 10 Millionen Euro Umsatz in den 18 definierten Sektoren. Die Relevanz für HR-Daten ist indirekt, aber real:

  • Risikomanagement-Pflicht: Unternehmen unter NIS2 müssen ein systematisches Risikomanagement für ihre IT-Systeme nachweisen. Das schliesst HR-Systeme mit Personalakten ein.
  • Doppelte Meldepflicht: Ein Sicherheitsvorfall bei HR-Daten löst sowohl eine NIS2-Meldepflicht als auch eine DSGVO-Datenpannenmeldung nach Art. 33/34 aus. Zwei Behörden, zwei Fristen, zwei Prozesse.
  • Geschäftsführerhaftung: § 30 BSIG macht Geschäftsführer persönlich haftbar bei schuldhaften Verstössen gegen die Risikomanagementpflichten.
  • Sanktionen: Bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.

Praxis-Checkliste: 7 Schritte zum compliant-en Personalaktenmanagement

  1. Löschkonzept einführen: Automatisierte Löschfristen je Dokumententyp (siehe Tabelle oben). Kein pauschales „10 Jahre für alles“.
  2. Datenschutz-Folgenabschätzung durchführen: Art. 35 DSGVO verlangt eine DSFA vor Einführung jeder neuen HR-Software. Bestehende Systeme ohne DSFA nachbessern.
  3. Zugriffskonzept prüfen: Rollenbasiertes Least-Privilege-Prinzip. HR-Admins sehen alles, Teamleiter nur ihre direkte Linie, Buchhaltung nur Entgeltdaten. Jeder Zugriff wird protokolliert.
  4. Betriebsrat einbinden: § 87 Abs. 1 Nr. 6 BetrVG: Einführung technischer Einrichtungen zur Überwachung von Beschäftigten ist mitbestimmungspflichtig. Eine ePA ohne Betriebsvereinbarung ist angreifbar.
  5. Besondere Kategorien trennen: Gesundheitsdaten, Gewerkschaftszugehörigkeit und religiöse Überzeugungen (Art. 9 DSGVO) getrennt von allgemeinen Personaldaten speichern. Separater Zugriff, separates Löschkonzept.
  6. Digitale Entgeltakte vorbereiten: Bis Ende 2026 revisionssicheres System aufsetzen. Anforderungen: strukturierte Organisation, Zuordnung, Protokollierung.
  7. Incident-Response für HR-Daten definieren: Wer meldet an welche Behörde innerhalb welcher Frist? DSGVO: 72 Stunden an die Datenschutzbehörde. NIS2: 24 Stunden Erstmeldung an das BSI (bei NIS2-relevanten Unternehmen).

Fazit: Personalakten sind kein HR-Thema mehr

Zwischen der digitalen Entgeltakte-Pflicht 2027, verschärfter DSGVO-Durchsetzung und NIS2-Meldepflichten ist das Management von Personalakten ein Querschnittsthema geworden, das HR, IT-Security, Legal und Geschäftsführung gemeinsam lösen müssen. Wer jetzt noch mit Excel-Listen und Papierordnern arbeitet, hat nicht mehr viel Puffer.

Der erste Schritt kostet nichts: Die Aufbewahrungsfristen-Tabelle ausdrucken, mit dem aktuellen Löschprozess abgleichen und dokumentieren, wo Lücken sind. Wer dabei feststellt, dass es keinen Löschprozess gibt, weiss zumindest, wo er anfangen muss.

Häufige Fragen

Wie lange dürfen Personalakten nach Beendigung des Arbeitsverhältnisses aufbewahrt werden?

Es gibt keine einheitliche Frist. Lohnsteuerunterlagen müssen 6 Jahre, Buchungsbelege 10 Jahre aufbewahrt werden (§ 147 AO). Allgemeine arbeitsrechtliche Ansprüche verjähren nach 3 Jahren (§§ 195, 199 BGB). Nach Ablauf aller anwendbaren Fristen besteht eine Löschpflicht nach Art. 17 DSGVO. Die Praxis vieler Unternehmen, Akten pauschal 10 Jahre aufzubewahren, ist rechtlich nicht gedeckt, wenn keine spezifische Aufbewahrungspflicht für den jeweiligen Dokumententyp besteht.

Wer darf Einsicht in Personalakten nehmen?

Nur ein eng begrenzter Kreis: HR-Abteilung im Rahmen der Personalverwaltung, der Beschäftigte selbst (Art. 15 DSGVO Auskunftsrecht) und Vorgesetzte nur bei konkreter Personalangelegenheit. Das Bundesarbeitsgericht (Az. 5 AZR 215/86) hat klargestellt, dass der Kreis der Einsichtsberechtigten so klein wie möglich zu halten ist. Jede Einsichtnahme sollte protokolliert werden.

Müssen Personalakten ab 2027 komplett digital sein?

Nein, nur die Entgeltunterlagen (Lohnabrechnungen, Sozialversicherungsnachweise, Arbeitszeitnachweise). Das 7. SGB-IV-Änderungsgesetz verpflichtet ab Januar 2027 zur digitalen Entgeltakte. Andere Bestandteile wie Leistungsbeurteilungen oder Abmahnungen können weiterhin in Papierform geführt werden. Die Anforderungen an die digitale Führung gehen aber über PDF-Ablage hinaus: revisionssichere Protokollierung und strukturierte Organisation sind Pflicht.

Was passiert bei einer Datenpanne mit Personalakten?

Es greifen bis zu zwei parallele Meldepflichten: Art. 33 DSGVO verlangt eine Meldung an die zuständige Datenschutzbehörde innerhalb von 72 Stunden. Fällt das Unternehmen unter NIS2 (ab 50 Mitarbeiter in regulierten Sektoren), kommt eine Erstmeldung an das BSI innerhalb von 24 Stunden hinzu. Bei hohem Risiko für die Betroffenen müssen diese nach Art. 34 DSGVO zusätzlich individuell benachrichtigt werden.

Brauche ich eine Datenschutz-Folgenabschätzung für HR-Software?

In den meisten Fällen ja. Art. 35 DSGVO verlangt eine DSFA, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte der Betroffenen birgt. Bei HR-Systemen, die systematisch Beschäftigtendaten verarbeiten – einschliesslich besonderer Kategorien wie Gesundheitsdaten – ist das regelmässig der Fall. Die deutschen Datenschutzbehörden führen Personalverwaltungssysteme explizit in ihren Positivlisten für DSFA-pflichtige Verarbeitungen.

Mehr aus dem MBF Media Netzwerk

Quelle Titelbild: Pexels / Element5 Digital (px:1370294)

Benedikt Langer

Hier schreibt Benedikt Langer für Sie

Mehr Artikel vom Autor

Auch verfügbar in

FrançaisEspañolEnglish
Ein Magazin der Evernine Media GmbH