Kaum ein Ordner im Unternehmen enthält so viele sensible Informationen wie die Personalakte: Gehaltsdaten, Krankheitszeiten, Abmahnungen, Sozialversicherungsnummern, manchmal Gesundheitszeugnisse. Entsprechend streng sind die Regeln, die DSGVO und Bundesdatenschutzgesetz an Führung, Aufbewahrung und Löschung dieser Daten stellen. Wer sie ignoriert, riskiert nicht nur Konflikte mit Beschäftigten und Betriebsrat, sondern empfindliche Bußgelder der Aufsichtsbehörden. Dabei lassen sich die Anforderungen mit klaren Prozessen gut beherrschen.
Was in die Personalakte gehört – und was nicht
Einen gesetzlich definierten Inhalt der Personalakte gibt es nicht. Als Faustregel gilt: Hinein gehört, was in einem inneren Zusammenhang mit dem Arbeitsverhältnis steht. Das sind typischerweise Bewerbungsunterlagen und Arbeitsvertrag samt Änderungen, Qualifikationsnachweise und Zeugnisse, Sozialversicherungs- und Steuerdaten, Entgeltunterlagen, Urlaubsdaten, Abmahnungen, Zielvereinbarungen und Beurteilungen sowie Schriftwechsel zum Arbeitsverhältnis.
Nicht hinein gehören dagegen Daten ohne dienstlichen Bezug: private Umstände, Gerüchte oder Vermerke über das Privatleben, Gesundheitsdiagnosen (die Arbeitsunfähigkeitsbescheinigung dokumentiert nur die Dauer, nicht die Diagnose), Unterlagen des betrieblichen Eingliederungsmanagements – sie sind getrennt und besonders geschützt zu führen – sowie Ergebnisse heimlicher Überwachung, die ohnehin regelmäßig unzulässig ist. Auch die Aufzeichnungen zur Arbeitszeit sind rechtlich eigenständig zu behandeln; welche Pflichten hier gelten, erläutert unser Beitrag zur Arbeitszeiterfassung.

Rechtsgrundlagen: § 26 BDSG und DSGVO
Zentrale Norm des Beschäftigtendatenschutzes ist § 26 BDSG: Personenbezogene Daten von Beschäftigten dürfen verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist. Erforderlichkeit ist der Schlüsselbegriff – gespeichert werden darf nicht, was nützlich erscheint, sondern nur, was das Arbeitsverhältnis tatsächlich verlangt. Daneben gelten die allgemeinen Grundsätze der DSGVO: Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität und Vertraulichkeit (Art. 5 DSGVO).
Für besondere Kategorien wie Gesundheitsdaten, Religionszugehörigkeit (etwa für die Kirchensteuer) oder Schwerbehinderung gelten verschärfte Anforderungen nach Art. 9 DSGVO in Verbindung mit § 26 Abs. 3 BDSG: Die Verarbeitung ist nur zulässig, wenn sie zur Ausübung arbeitsrechtlicher Pflichten oder Rechte nötig ist – und solche Daten sind organisatorisch besonders zu sichern. Praktisch bedeutet das: Zugriff auf die Personalakte haben nur Personen, die ihn für ihre Aufgabe brauchen – in der Regel die Personalabteilung und der jeweilige Vorgesetzte in engen Grenzen. Ein Rollen- und Berechtigungskonzept ist bei digitalen Personalakten unverzichtbar; bei Papierakten erfüllen abschließbare Schränke und Zugriffsprotokolle denselben Zweck. Einwilligungen der Beschäftigten tragen wegen des Abhängigkeitsverhältnisses nur ausnahmsweise – etwa für Fotos im Intranet – und müssen jederzeit widerruflich sein.
Erforderlichkeit ist der Maßstab: In die Personalakte gehört nicht, was nützlich erscheint, sondern nur, was das Arbeitsverhältnis wirklich verlangt.

Aufbewahrungs- und Löschfristen im Überblick
Die DSGVO verlangt, Daten zu löschen, sobald der Zweck entfällt (Art. 17 DSGVO) – zugleich schreiben zahlreiche Gesetze Mindestaufbewahrungsfristen vor. Aus diesem Spannungsverhältnis ergibt sich ein gestaffeltes System, das Betriebe in einem Löschkonzept dokumentieren sollten:
- Bewerbungsunterlagen abgelehnter Kandidaten: in der Regel bis zu sechs Monate nach Absage (wegen der AGG-Fristen), danach löschen – längere Speicherung im Talentpool nur mit Einwilligung.
- Lohn- und Gehaltsabrechnungen, Buchungsbelege: je nach Einordnung sechs bis acht Jahre nach § 257 HGB und § 147 AO; für Belege gilt seit 2025 eine verkürzte Frist von acht Jahren.
- Lohnsteuerunterlagen: sechs Jahre; Sozialversicherungs- und Beitragsnachweise: bis zu Prüfabschluss, Entgeltunterlagen nach § 28f SGB IV bis zum Ablauf des auf die letzte Betriebsprüfung folgenden Jahres.
- Allgemeine Personalaktendaten: nach Ende des Arbeitsverhältnisses regelmäßig drei Jahre (Verjährung möglicher Ansprüche, § 195 BGB), soweit keine längeren Fristen greifen.
- Unterlagen zur betrieblichen Altersversorgung: bis zu 30 Jahre, solange Ansprüche bestehen können.
- Abmahnungen: keine feste Frist – sie sind zu entfernen, wenn sie ihre Warnfunktion verloren haben und keine berechtigten Interessen mehr bestehen.
Wichtig: Löschen heißt löschen. Papierakten sind datenschutzgerecht zu vernichten, digitale Datensätze einschließlich Backups nach dokumentiertem Verfahren zu entfernen. Ein jährlicher Löschlauf mit Protokoll hat sich in der Praxis bewährt.

Einsicht, Auskunft, Berichtigung: die Rechte der Beschäftigten
Beschäftigte haben ein doppeltes Zugangsrecht: Arbeitsrechtlich dürfen sie ihre vollständige Personalakte jederzeit einsehen – ohne Begründung, während der Arbeitszeit, und sie dürfen Notizen und in der Regel Kopien anfertigen. Nach § 83 BetrVG können sie in Betrieben mit Betriebsrat ein Betriebsratsmitglied hinzuziehen. Datenschutzrechtlich kommt das Auskunftsrecht aus Art. 15 DSGVO hinzu: Auf Antrag muss der Arbeitgeber mitteilen, welche Daten er zu welchen Zwecken verarbeitet, woher sie stammen und an wen sie übermittelt wurden – samt einer Kopie der Daten, grundsätzlich binnen eines Monats.
Unrichtige Daten müssen berichtigt (Art. 16 DSGVO), unzulässig gespeicherte entfernt werden. Beschäftigte können zudem eine Gegendarstellung zu Abmahnungen oder Beurteilungen verlangen, die zur Akte genommen wird. Für Arbeitgeber folgt daraus eine schlichte Konsequenz: Die Akte sollte jederzeit so geführt sein, dass ihre vollständige Offenlegung keine Überraschungen birgt. Wer wissen will, welche Daten im Kontext von Krankheit besonders heikel sind, findet Hintergründe in unserer Analyse zum Krankenstand in den Betrieben.
Bußgelder und typische Fehler
Verstöße gegen den Beschäftigtendatenschutz können nach Art. 83 DSGVO mit Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes geahndet werden. Aufsichtsbehörden haben in den vergangenen Jahren gerade bei Beschäftigtendaten mehrfach empfindliche Bußgelder verhängt – etwa wegen unzulässiger Krankheits- und Privatdatensammlungen. Daneben drohen Schadensersatzansprüche der Betroffenen nach Art. 82 DSGVO, für die kein Verschuldensnachweis in klassischer Form nötig ist.
Die typischen Fehler sind stets dieselben: fehlendes Löschkonzept, zu weite Zugriffsrechte, Gesundheitsdaten in der allgemeinen Akte, verschleppte Auskunftsersuchen und ungesicherte Übermittlung von Personaldaten per E-Mail. Wer dagegen Verantwortlichkeiten definiert, Zugriffe beschränkt, Fristen automatisiert überwacht und Auskunftsprozesse vorbereitet, erfüllt die Anforderungen ohne großen laufenden Aufwand. Auch bei Gehaltsdaten ist Vertraulichkeit Pflicht – was Beschäftigte über ihr Entgelt wissen und verhandeln dürfen, lesen Sie im Beitrag zur Gehaltsverhandlung. Weitere Praxisbeiträge zum Arbeitsrecht bündelt unser Ressort Arbeit.
Häufige Fragen
Dürfen Beschäftigte ihre Personalakte einsehen?
Ja, jederzeit und ohne Begründung. Sie dürfen Notizen machen, in der Regel Kopien anfertigen und nach § 83 BetrVG ein Betriebsratsmitglied hinzuziehen. Zusätzlich besteht das Auskunftsrecht nach Art. 15 DSGVO mit Anspruch auf eine Datenkopie.
Wie lange darf der Arbeitgeber Daten nach dem Ausscheiden speichern?
Gestaffelt: allgemeine Unterlagen regelmäßig drei Jahre (Verjährung), Lohnsteuerunterlagen sechs Jahre, Buchungsbelege acht Jahre, Unterlagen zur betrieblichen Altersversorgung bis zu 30 Jahre. Maßgeblich ist immer die jeweils einschlägige gesetzliche Frist – danach ist zu löschen.
Gehören Krankheitsdiagnosen in die Personalakte?
Nein. Gespeichert werden dürfen Krankheitszeiten und Arbeitsunfähigkeitsbescheinigungen, nicht aber Diagnosen. Gesundheitsdaten unterliegen Art. 9 DSGVO und sind getrennt und besonders gesichert aufzubewahren; BEM-Unterlagen gehören nie in die allgemeine Akte.
Wann muss eine Abmahnung aus der Akte entfernt werden?
Es gibt keine starre Frist. Eine Abmahnung ist zu entfernen, wenn sie ihre Warnfunktion verloren hat und kein berechtigtes Interesse an der Aufbewahrung mehr besteht – je nach Schwere des Vorwurfs oft nach zwei bis drei Jahren beanstandungsfreien Verhaltens.