DSGVO im Personalwesen: Artikel für Arbeitgeber

Personalakte, Aufbewahrungsfristen, Beschäftigtendatenschutz, AVV mit dem Lohnbüro. Was wirklich dokumentiert sein muss und was du dir sparen kannst.

← Zurück zum Magazin
1
veröffentlichte Artikel in dieser Kategorie
4
Themenfelder abgedeckt
2026
aktuelle Werte, Sätze und Pflichten

Was du in dieser Kategorie findest

Personaldaten sind das Sensibelste, was ein Arbeitgeber verarbeitet. DSGVO und BDSG setzen klare Spielregeln: AVV mit jedem Dienstleister, Verarbeitungsverzeichnis, technisch-organisatorische Maßnahmen, Betroffenenrechte. Wer das schlampig macht, riskiert bis zu 20 Mio. € Bußgeld oder 4 % vom Jahresumsatz.

Hier geht es um die operative Seite: Welche Unterlagen müssen wie lange aufbewahrt werden? Was darf in die Personalakte, was nicht? Wie kann ich KI im Recruiting einsetzen, ohne DSGVO zu verletzen? Was muss in den AVV mit dem Lohnbüro?

Wir bei Lohnklar verarbeiten alle Daten in den BSI-C5-zertifizierten DATEV-Rechenzentren in Nürnberg. AVV nach Art. 28 DSGVO bekommst du bei Vertragsschluss, keine US-Cloud-Komponenten in der Lohnabrechnung. Hier schreiben Tino Werner und Melanie Schulze, beide in regelmäßigem Austausch mit Datenschutzbeauftragten unserer Mandanten.

Themen-Übersicht

Vier DSGVO-Themen im HR-Alltag

Die Fragen, die uns Mandanten regelmäßig stellen, von Personalakte bis KI im Recruiting.

Personalakte & Aufbewahrungsfristen

Was rein darf, was nicht. Wie lange müssen Unterlagen aufbewahrt werden, wann ist Löschung Pflicht?

KI im HR-Alltag

Bewerberauswahl mit KI, Mitarbeiter-Screening, Chatbots: was geht, was geht nicht laut DSGVO und AI Act.

Auftragsverarbeitung

Wann brauchst du AVV-Verträge? Was muss drin stehen? Welche Pflichten kommen mit dem Outsourcing?

Artikel zu diesem Thema sind in Planung. Frag uns direkt oder buche ein 30-Minuten-Erstgespräch.

Beschäftigtendatenschutz

Überwachung, Whistleblowing, Mitarbeiter-Monitoring: die Grauzonen sauber regeln.

Artikel zu diesem Thema sind in Planung. Frag uns direkt oder buche ein 30-Minuten-Erstgespräch.
Alle Beiträge

Artikel in DSGVO

Sortiert nach Aktualität, neueste zuerst. 1 Beiträge insgesamt.

Häufige Fragen

Was uns Mandanten zu DSGVO fragen

Die Antworten, die wir im Erstgespräch am häufigsten geben.

Wer ist verantwortlich für Datenschutz in HR?

Kurz: Verantwortlich im Sinne der DSGVO ist immer der Arbeitgeber, nicht der externe Dienstleister. Das Lohnbüro oder die HR-Software ist Auftragsverarbeiter. Pflichten kann man nicht „outsourcen", aber operativ delegieren. AVV-Vertrag und regelmäßige Kontrolle bleiben Aufgabe des Arbeitgebers.

Wie lange dürfen Bewerbungsunterlagen aufbewahrt werden?

Kurz: 6 Monate nach Absage ist die Faustregel (für AGG-Klagefrist). Bei Aufnahme in den Talent-Pool nur mit ausdrücklicher Einwilligung. Bei Einstellung wandern relevante Unterlagen in die Personalakte, der Rest wird gelöscht.

Was darf in die Personalakte, was nicht?

Kurz: Erforderlich: Arbeitsvertrag, Lohnsteuermerkmale, Sozialversicherungsnachweise, Krankschreibungen (nur Tage, kein Diagnose). Nicht erlaubt: Gesundheitsdaten ohne Erforderlichkeit, politische/religiöse Überzeugungen, Strafregister-Auszüge ohne Bezug zur Tätigkeit. Details im Personalakte-Artikel.

Brauche ich einen AVV mit dem Lohnbüro?

Kurz: Ja, zwingend. Der Auftragsverarbeitungsvertrag (Art. 28 DSGVO) muss vor der ersten Datenverarbeitung schriftlich (oder elektronisch dokumentiert) vorliegen. Lohnklar stellt den AVV bei Vertragsschluss bereit, ebenso DATEV als unser Sub-Auftragsverarbeiter.

Darf ich KI im Recruiting einsetzen?

Kurz: Bedingt. Vollautomatisierte Entscheidungen ohne menschliche Beteiligung sind nach Art. 22 DSGVO nicht zulässig. KI als Unterstützung (Vorauswahl, Sortierung) ist erlaubt, wenn transparent, dokumentiert und mit menschlicher Endkontrolle. Der EU AI Act (ab 2025) bringt zusätzliche Pflichten.

Was passiert bei einer DSGVO-Beschwerde?

Kurz: Aufsichtsbehörde (in Berlin: BlnBDI) fordert Stellungnahme. Bei Unzulänglichkeiten: Bußgeld bis 20 Mio. € oder 4 % Jahresumsatz. Wichtig: Verzeichnis der Verarbeitungstätigkeiten und TOM-Dokumentation müssen jederzeit vorzeigbar sein. Datenschutzbeauftragten frühzeitig einbinden.

Deine DSGVO-Frage steht hier nicht?

Lass uns 30 Minuten reden. Wir gehen eure typischen DSGVO-Themen in HR und Lohnabrechnung durch und sagen dir, wo Handlungsbedarf besteht.

30-min-Gespräch buchen
Kostenfrei, unverbindlich. Du sprichst direkt mit Tino, nicht mit einem Vertriebs-Team.