DSGVO im Personalwesen: Artikel für Arbeitgeber
Personalakte, Aufbewahrungsfristen, Beschäftigtendatenschutz, AVV mit dem Lohnbüro. Was wirklich dokumentiert sein muss und was du dir sparen kannst.
← Zurück zum MagazinWas du in dieser Kategorie findest
Personaldaten sind das Sensibelste, was ein Arbeitgeber verarbeitet. DSGVO und BDSG setzen klare Spielregeln: AVV mit jedem Dienstleister, Verarbeitungsverzeichnis, technisch-organisatorische Maßnahmen, Betroffenenrechte. Wer das schlampig macht, riskiert bis zu 20 Mio. € Bußgeld oder 4 % vom Jahresumsatz.
Hier geht es um die operative Seite: Welche Unterlagen müssen wie lange aufbewahrt werden? Was darf in die Personalakte, was nicht? Wie kann ich KI im Recruiting einsetzen, ohne DSGVO zu verletzen? Was muss in den AVV mit dem Lohnbüro?
Wir bei Lohnklar verarbeiten alle Daten in den BSI-C5-zertifizierten DATEV-Rechenzentren in Nürnberg. AVV nach Art. 28 DSGVO bekommst du bei Vertragsschluss, keine US-Cloud-Komponenten in der Lohnabrechnung. Hier schreiben Tino Werner und Melanie Schulze, beide in regelmäßigem Austausch mit Datenschutzbeauftragten unserer Mandanten.
Vier DSGVO-Themen im HR-Alltag
Die Fragen, die uns Mandanten regelmäßig stellen, von Personalakte bis KI im Recruiting.
Personalakte & Aufbewahrungsfristen
Was rein darf, was nicht. Wie lange müssen Unterlagen aufbewahrt werden, wann ist Löschung Pflicht?
KI im HR-Alltag
Bewerberauswahl mit KI, Mitarbeiter-Screening, Chatbots: was geht, was geht nicht laut DSGVO und AI Act.
Auftragsverarbeitung
Wann brauchst du AVV-Verträge? Was muss drin stehen? Welche Pflichten kommen mit dem Outsourcing?
Beschäftigtendatenschutz
Überwachung, Whistleblowing, Mitarbeiter-Monitoring: die Grauzonen sauber regeln.
Personalakte 2026: Pflichtinhalte, Verbote & DSGVO-Anforderungen
Was muss 2026 in die Personalakte? Pflichtdokumente nach NachwG, verbotene Inhalte, DSGVO-Aufbewahrungsfristen und das neue Einsichtsrecht auf digitale Kopien. Mit Checkliste für Arbeitgeber.
Artikel lesen →Artikel in DSGVO
Sortiert nach Aktualität, neueste zuerst. 1 Beiträge insgesamt.
Was uns Mandanten zu DSGVO fragen
Die Antworten, die wir im Erstgespräch am häufigsten geben.
Wer ist verantwortlich für Datenschutz in HR?
Kurz: Verantwortlich im Sinne der DSGVO ist immer der Arbeitgeber, nicht der externe Dienstleister. Das Lohnbüro oder die HR-Software ist Auftragsverarbeiter. Pflichten kann man nicht „outsourcen", aber operativ delegieren. AVV-Vertrag und regelmäßige Kontrolle bleiben Aufgabe des Arbeitgebers.
Wie lange dürfen Bewerbungsunterlagen aufbewahrt werden?
Kurz: 6 Monate nach Absage ist die Faustregel (für AGG-Klagefrist). Bei Aufnahme in den Talent-Pool nur mit ausdrücklicher Einwilligung. Bei Einstellung wandern relevante Unterlagen in die Personalakte, der Rest wird gelöscht.
Was darf in die Personalakte, was nicht?
Kurz: Erforderlich: Arbeitsvertrag, Lohnsteuermerkmale, Sozialversicherungsnachweise, Krankschreibungen (nur Tage, kein Diagnose). Nicht erlaubt: Gesundheitsdaten ohne Erforderlichkeit, politische/religiöse Überzeugungen, Strafregister-Auszüge ohne Bezug zur Tätigkeit. Details im Personalakte-Artikel.
Brauche ich einen AVV mit dem Lohnbüro?
Kurz: Ja, zwingend. Der Auftragsverarbeitungsvertrag (Art. 28 DSGVO) muss vor der ersten Datenverarbeitung schriftlich (oder elektronisch dokumentiert) vorliegen. Lohnklar stellt den AVV bei Vertragsschluss bereit, ebenso DATEV als unser Sub-Auftragsverarbeiter.
Darf ich KI im Recruiting einsetzen?
Kurz: Bedingt. Vollautomatisierte Entscheidungen ohne menschliche Beteiligung sind nach Art. 22 DSGVO nicht zulässig. KI als Unterstützung (Vorauswahl, Sortierung) ist erlaubt, wenn transparent, dokumentiert und mit menschlicher Endkontrolle. Der EU AI Act (ab 2025) bringt zusätzliche Pflichten.
Was passiert bei einer DSGVO-Beschwerde?
Kurz: Aufsichtsbehörde (in Berlin: BlnBDI) fordert Stellungnahme. Bei Unzulänglichkeiten: Bußgeld bis 20 Mio. € oder 4 % Jahresumsatz. Wichtig: Verzeichnis der Verarbeitungstätigkeiten und TOM-Dokumentation müssen jederzeit vorzeigbar sein. Datenschutzbeauftragten frühzeitig einbinden.
Deine DSGVO-Frage steht hier nicht?
Lass uns 30 Minuten reden. Wir gehen eure typischen DSGVO-Themen in HR und Lohnabrechnung durch und sagen dir, wo Handlungsbedarf besteht.
30-min-Gespräch buchen