Aufbewahrungsfrist von Personalakten und Löschen nach DSGVO

Team Datenschutz • 15. Juni 2021

Der kleine feine Datentipp

Lesezeit: ca. 6 Minuten

Hängeakten

Aufbewahrungs­fristen von Personalakten


Eigentlich scheint es paradox. Da ist man immer bemüht, Daten zu sichern und zu verhindern, dass sie verloren gehen. Und dann kommt die DSGVO und fordert, dass Daten dann zu löschen sind, wenn sie nicht mehr gebraucht werden. Also genau das Gegenteil von dem, was man eigentlich immer versucht.


Löschen ist ein sehr komplexer Vorgang. Besser gesagt, es ist nicht nur einer, sondern eine Vielzahl von Löschvorgängen. Im Personalbereich ist Datenvernichtung einigermaßen überschaubar: Dort gibt es Personalakten, zu denen gehören auch die Unterlagen zur Lohn- und Gehaltsabrechnung samt der Verrechnung der Sozialversicherungsbeiträge. Wenn eine beschäftigte Person ausscheidet, ist deren Akte eigentlich nicht mehr erforderlich. Gleichzeitig sind Verantwortliche verpflichtet, für Zwecke der Betriebsprüfung solche Unterlagen vorzuhalten, bei denen eine Auswirkung auf den Wert des Unternehmens unterstellt wird.


Dazu gehören zweifellos die Lohnunterlagen. Diese müssen Sie also so lange aufbewahren, dass Sie sie bei einer möglichen Betriebsprüfung vorlegen können. Und dafür sind ziemlich einheitlich zehn Jahre definiert. Ziemlich einheitlich deshalb, da es nur für Beamte und deren Personalakten eine klare Vorgabe von zehn Jahren Aufbewahrung gibt. Für Beschäftigte ohne Beamtenverhältnis gibt es im BGB nur eine Mindestanforderung von drei Jahren. Die Vorgabe, Unterlagen so lange vorzuhalten, bis eine mögliche Betriebsprüfung erfolgt ist, verlängert die Aufbewahrungsfrist auf zehn Jahre – wieder eine Parallele zum Beamtenrecht.




Zehn Jahre bei Personal­unterlagen


Manchmal wird bei einer Betriebsprüfung festgestellt, dass das Finanzamt bestimmte Vorkommnisse genauer überprüfen sollte. In diesem Fall wird ein sogenannter Löschvorbehalt erlassen. Der gilt, bis die Betriebsprüfung für die Lohnunterlagen stattgefunden hat. Wenn die Lohnsteuerprüfung erfolgt ist, können die Unterlagen so gelöscht werden, wie es ohne Lohnsteuerprüfung vorgesehen war.


Manches traditionelle Unternehmen bewahrt die Personalunterlagen aus anderen Gründen länger auf. Früher gab es eine einfache Begründung: Rentenversicherungsunterlagen waren zwar zentral abgespeichert, aber beim Rentenantrag musste man dennoch Unterlagen über die eingezahlten Renten vorlegen. Da konnte es passieren, dass beschäftigte Personen Unterlagen verloren hatten. Arbeitgeber verstanden das als Auftrag an den eigenen Servicegedanken, die Unterlagen länger als die vorgesehenen zehn Jahre nach Ausscheiden aufzubewahren. Mit einer Kopie beim Arbeitgeber konnte man verhindern, Abschläge bei der Rente hinnehmen zu müssen.


In der heutigen Zeit ist das nicht mehr nötig, Rentennachweise werden mittlerweile zentral geführt. Demzufolge gibt es keinen stichhaltigen Grund, Personalunterlagen länger als die vorgesehenen zehn Jahre respektive den Prüfvorbehalt aufzubewahren.





Was passiert, wenn Sie nicht löschen


Was nicht jeder weiß: Findet eine Betriebsprüfung durch das Finanzamt statt und es befinden sich im Unternehmen Unterlagen, die trotz verstrichener Aufbewahrungsfrist noch vorhanden sind, dürfen auch diese Unterlagen zur Prüfung herangezogen werden. Das kann dazu führen, dass Unterlagen, die eigentlich nicht mehr da sein sollten, eine Nachversteuerung verursachen.


Im Datenschutz lauert ein weiteres Risiko. Die DSGVO setzt hohe Geldbußen fest, wenn Persönlichkeitsrechte betroffener Personen missachtet werden – also die Rechte von jenen, deren Daten verarbeitet werden. Eines der Betroffenenrechte ist das Recht auf Löschung. Werden Unterlagen mit personenbezogenen Daten, also beispielsweise Personalakten, nicht rechtzeitig gelöscht, handelt es sich mutmaßlich um einen Datenschutzverstoß. Das kann im Extremfall zu einer Geldbuße von bis zu 20 Millionen Euro oder bis zu vier Prozent des gesamten Konzernumsatzes im Vorjahr führen. Das ist der Höchstsatz, der bisher noch nie verhängt wurde. Wer aber auf Grundlage des Risikomanagements handelt, sollte den Höchstsatz kennen und berücksichtigen.


Ob Personalakten oder sonstige Unterlagen, wer das Löschen nach der Aufbewahrungsfrist versäumt, geht also ein doppeltes Risiko ein: dass Unterlagen zu seinem Nachteil verwendet werden – und dass sie Beanstandungen oder gar eine Geldbuße durch die Datenschutz-Aufsichtsbehörden nach sich ziehen.





Aufbewahren und Löschen nach den Regeln des Datenschutzes



Was den Datenschutz angeht, müssen Verantwortliche beim Löschen verschiedene Vorgaben beachten. Da gibt es die Verpflichtung, die Verfügbarkeit personenbezogener Daten sicherzustellen. Datenschutzbeauftragte müssen also darauf achten, dass Unterlagen tatsächlich so lange bei der Hand sind, wie sie benötigt werden oder gesetzliche Aufbewahrungsfristen es vorgeben. Werden sie nicht mehr benötigt bzw. ist die gesetzliche Aufbewahrungsfrist abgelaufen, müssen Unterlagen zuverlässig gelöscht werden.
Jedes Unternehmen muss demzufolge konzeptionell löschen, heißt: Ein Löschkonzept muss her. Es empfiehlt sich, eine Löschleitlinie auszuarbeiten (also ein generisches Löschkonzept) sowie Löschregeln für die einzelnen Fachbereiche.


Datenschutzbeauftragte müssen im Rahmen ihrer Überwachungsaufgabe Sorge tragen, dass Unterlagen gelöscht werden, wenn ihre Zeit gekommen ist. Das gilt für Personalakten insbesondere, weil damit die Rechte beschäftigter Personen direkt betroffen sind. Und für seine Beschäftigten hat das Unternehmen ja bekanntlich eine Fürsorgepflicht.


Kontakt aufnehmen
Archivregal mit Unterlagen

Datenlöschung nach DSGVO oder: Personen­bezogene Daten im Niemandsland

von Eberhard Häcker 15. März 2024
Auch die Zeit von Daten läuft irgendwann ab. Sie werden nicht mehr gebraucht, Aufbewahrungsfristen sind abgelaufen, sie liegen eh nur im Weg — und die Löschung personenbezogener Daten verlangt natürlich auch die DSGVO. Bis wirklich gelöscht wird, sind die Daten sicher zu schützen. 7 Schritte, wie es klappt.
Streifen aus geschreddertem Papier

Challenge: Daten richtig löschen

von Eberhard Häcker 12. Oktober 2023
Datenlöschen, was kann man da falsch machen? Ist doch einfach! Ganz sicher? In der Praxis birgt das Datenlöschen Stolpersteine, die man kennen sollte – sonst hält man Daten für gelöscht, die es gar nicht sind. Die wichtigsten Fragen und Antworten rund ums Löschen und 10 praktische Tipps.
Laptop mit eingestecktem USB-Stick

Wie Sie Daten auf USB-Sticks datenschutz­gerecht löschen

von Eberhard Häcker 13. April 2023
Daten von USB-Sticks zu löschen, ist leicht. Oder nicht? „Löschen“ klicken oder „Entfernen“ drücken geht natürlich schnell und einfach. Nur gelöscht sind die Daten damit noch lange nicht. Datenschutz-Profi Eberhard Häcker hat Tipps, wie man Daten zuverlässig und DSGVO-gerecht von Speichersticks löscht.
Ansicht eines Kalenderblatts

Fristgerechtes Datenlöschen nach der DSGVO

von Team Datenschutz 29. Oktober 2021
Bei all den personenbezogenen Daten den Überblick zu behalten, ist nicht einfach – vor allem nicht, wenn es ans Löschen geht. Was sagt die DSGVO dazu und wie organisiert man das praktisch? Der Datentipp gibt Tipps zum fristgerechten Löschen.

Löschkonzept erstellen. Mehr dazu in einem der nächsten Datenschutz-Praxistipps. Nicht verpassen!


Tipps, wie Sie Personalunterlagen richtig aufbewahren und löschen


  • sicherstellen, dass nur berechtigte Personen auf Personalakten Zugriff haben
  • klare Vorgaben zur Aufbewahrung und zum Löschen von Personalunterlagen erstellen
  • sicherstellen, dass Personalunterlagen nach Ablauf der Aufbewahrungsfrist gelöscht werden
  • Papierunterlagen sachgerecht entsorgen, und zwar mit einem dafür zertifizierten Entsorgungsbetrieb
  • elektronische Daten im Zusammenhang mit der Personalakte fristgerecht vernichten. Dazu gehören Dokumente in Word wie Zeugnisse ebenso wie Mails im Zusammenhang mit der beschäftigten Person.
  • Wir empfehlen, eine Löschleitlinie zu erlassen, die die Grundsätze des Löschens betrachtet. Beispielsweise Löschfristen, wann die entsprechenden Aufbewahrungsfristen beginnen, wann sie enden, wie viel Zeit höchstens zwischen dem Ende der Aufbewahrungsfrist und dem tatsächlichen Löschen liegen darf, sowie die Anforderungen, die in dieser Zeit für die Aufbewahrung betroffener Unterlagen zu beachten sind.
  • die Maßnahmen sorgfältig überwachen. Stellen Sie anhand von Stichproben sicher, dass Löschregeln und Aufbewahrungsfristen eingehalten werden und die Entsorgung fachgerecht erfolgt.



Und die Kernfrage: Haben Sie sichergestellt, dass Personalunterlagen unter Berücksichtigung der Betroffenenrechte und gesetzlicher Aufbewahrungsfristen zum angemessenen Zeitpunkt gelöscht werden?

Wir wünschen viel Erfolg beim Managen der Personalakten!

Bei Datenschutz-Fragen Team Datenschutz fragen.



Kontakt aufnehmen Kontakt aufnehmen

Hat Ihnen der Datentipp gefallen? Empfehlen Sie ihn weiter!

Daten­schutz-Beratung


Top beraten in Sachen Datenschutz


zum Seminar

Technische und organisatorische Maßnahmen


Unsere Lösung für gelebten Datenschutz.

weiterlesen

Transkription in Videokonferenzen: Datenschutz richtig umsetzen

von Eberhard Häcker 9. April 2025
Transkription im Online-Meeting? Warum das ohne Einwilligung zum Datenschutzproblem wird – und welche Regeln Unternehmen jetzt brauchen.
Laptoptastatur mit leuchtenden Tasten

Webinar-Reihe: IT-Sicherheit & Datenschutz 2025

von Team Datenschutz 4. April 2025
Entdecken Sie unsere Webinar-Reihe 2025 zu IT-Sicherheit & Datenschutz: KI, NIS2 & ISMS verständlich erklärt. Jetzt anmelden & praxisnah profitieren!

10 Tipps für den sicheren Einsatz von Copilot V3.5 in Microsoft 365

von Eberhard Häcker 28. März 2025
Microsoft Copilot V3.5: 10 wichtige Risiken, die Sie kennen müssen, und 10 Tipps für den sicheren Einsatz! Erfahren Sie, wie Sie Copilot optimal nutzen, Datenschutzrisiken vermeiden und Compliance-Anforderungen erfüllen.

Copilot in Edge: Datenschutzrisiken & sichere Nutzung im Unternehmen

von Eberhard Häcker 3. März 2025
Microsoft Copilot in Edge bietet viele Vorteile – birgt aber auch Gefahren für den Datenschutz. Wir zeigen 10 wichtige Risiken beim Einsatz von Copilot in Edge und geben 10 Tipps für mehr Sicherheit.

Spannende Datenschutz-Schulungen mit DATSIPrUse

von Team Datenschutz 17. Februar 2025
Unsere unterhaltsamen Datenschutz-Schulungen bringen Datenschutz mit charmanten Geschichten direkt in Ihr Unternehmen. Der Außerirdische DATSIPrUse und Datenschützer Eberhard erklären Datenschutz spannend und verständlich. Ideal, um Ihr Team spielerisch und praxisnah zu sensibilisieren. Jetzt mehr erfahren!

Der Datenschutz-Adventskalender 2024

von Team Datenschutz 28. November 2024
Die Adventszeit steht vor der Tür! Um die Zeit bis Weihnachten auf unterhaltsame und lehrreiche Weise zu verkürzen, wartet auch in diesem Jahr wieder der Datenschutz-Adventskalender mit brandneuen Abenteuern von DATSIPrUse!

Gelungenes Event: Das war das Datenschutz-Update 2024

von Team Datenschutz 22. November 2024
Auch in diesem Jahr hat das Tagesseminar „Datenschutz-Update“ wieder zahlreiche Interessierte aus Datenschutz und Informationssicherheit zusammengebracht. Mit rund 40 Teilnehmenden fand das virtuelle Event regen Zuspruch und bot spannende Einblicke in die Herausforderungen und Chancen, die 2025 und darüber hinaus auf Unternehmen und Datenschutzbeauftragte zukommen.

Team Datenschutz auf der IDACON 2024

von Team Datenschutz 1. Oktober 2024
Auch in diesem Jahr ist Team Datenschutz wieder bei der 24. IDACON 2024 mit dabei. Vom 5. bis 7. November dreht sich auf dem hybriden Kongress für Datenschutz in München alles um aktuelle Entwicklungen und praxisnahe Lösungen im Datenschutz.
Interieur eines Autos

Sensoren, Aktoren und der Datenschutz

von Eberhard Häcker 23. August 2024
Sensoren und Aktoren stecken in Autos, im Smart Home, in Industrie, Medizintechnik und mehr. Sie sammeln und verarbeiten Daten, die oft mit Menschen in Verbindung stehen. Klarer Fall für den Datenschutz. 10 Tipps, um Datenpannen zu vermeiden.
Mehr anzeigen