CERTISCAN
SolutionsModulesToolsKnowledgeBlogPricingAbout
Log inTry free
CERTISCAN
SolutionsModulesToolsKnowledgeBlogPricingAbout
Log inTry free
Knowledge/Digitale Personalakte DSGVO-konform: Aufbewahrung, Löschfristen, Verschlüsselung
Guide

Digitale Personalakte DSGVO-konform: Aufbewahrung, Löschfristen, Verschlüsselung

Die Personalakte ist ein Datenschutz-Minenfeld: Sie enthält die sensibelsten Daten Ihres Betriebs – Steuer-ID, IBAN, Sozialversicherungsnummer, oft Gesundheits- und Aufenthaltsdaten. Für die DSGVO gilt ein einfaches Prinzip: Daten dürfen nur so lange gespeichert werden, wie es einen Grund dafür gibt. Gleichzeitig zwingen Steuer- und Sozialrecht dazu, bestimmte Unterlagen mehrere Jahre aufzuheben. Aus diesem Spannungsfeld – aufbewahren müssen und löschen müssen – entsteht die zentrale Aufgabe: die richtige Frist je Dokument kennen und einhalten. Dieser Leitfaden ordnet die wichtigsten Aufbewahrungsfristen, erklärt die Löschpflicht nach Art. 17 DSGVO und zeigt, warum sensible Felder verschlüsselt gehören.

CSChristoph Schulz12 min readUpdated: Jul 12, 2026
Start freeOpen calculator→
DSGVOAES-256WORM-AUDITXRECHNUNGCSRD
Contents
  1. 01Das Wichtigste in 30 Sekunden
  2. 02Warum die Personalakte das sensibelste Datenpaket im Betrieb ist
  3. 03Aufbewahren müssen: die wichtigsten Fristen
  4. 04Löschen müssen: die Kehrseite der DSGVO
  5. 05Verschlüsseln müssen: Steuer-ID, IBAN, SV-Nummer & Co.
  6. 06Bewerberdaten: der am häufigsten übersehene Löschfall
  7. 07Warum das gerade Gebäudereiniger betrifft
  8. 08Wie CERTISCAN die Personalakte absichert

Das Wichtigste in 30 Sekunden

Die Personalakte muss zwei gegenläufige Pflichten gleichzeitig erfüllen: lange genug aufbewahren (Steuer-/Sozialrecht) und rechtzeitig löschen (DSGVO). Das Ergebnis ist keine Einheitsfrist, sondern eine Frist je Dokumentart:

  • Löschgrundsatz (Art. 5 & 17 DSGVO): Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck erforderlich sind oder eine gesetzliche Aufbewahrungspflicht besteht. Fällt beides weg, muss gelöscht werden.
  • Typische Aufbewahrungsfristen: Lohnkonto und lohnsteuerrelevante Unterlagen 6 Jahre (§ 41 EStG); Entgeltunterlagen für die Sozialversicherung bis zum Ende des Kalenderjahres nach der letzten SV-Prüfung (§ 28f SGB IV); Bewerberdaten nach Absage in der Regel 2–6 Monate.
  • Verschlüsselung (Art. 32 DSGVO): Besonders schützenswerte Felder wie Steuer-ID, IBAN und SV-Nummer gehören technisch geschützt – idealerweise verschlüsselt – und nicht offen in einer Excel-Tabelle.

Kurz: Eine ordentliche digitale Personalakte kennt für jedes Dokument seine Frist, löscht automatisch, wenn kein Grund mehr besteht, und verschlüsselt die sensibelsten Daten. Dieser Leitfaden zeigt, wie das gelingt.

Warum die Personalakte das sensibelste Datenpaket im Betrieb ist

In kaum einem anderen Ordner liegen so viele geschützte Daten wie in der Personalakte. Für einen Gebäudereinigungsbetrieb mit migrationsgeprägter, oft wechselnder Belegschaft kommen typischerweise zusammen:

  • Identifikations- und Abrechnungsdaten: Name, Anschrift, Geburtsdatum, Steuer-Identifikationsnummer, Sozialversicherungsnummer, IBAN.
  • Aufenthalts- und Arbeitserlaubnisdaten – teils besonders sensibel.
  • Gesundheitsbezogene Daten (Art. 9 DSGVO, „besondere Kategorien"): Arbeitsunfähigkeitszeiten, Ergebnisse arbeitsmedizinischer Vorsorge, ggf. Schwerbehinderung.
  • Bewerbungs- und Beurteilungsunterlagen, Abmahnungen, Zeugnisse.

Ein Datenleck hier ist kein Ärgernis, sondern ein DSGVO-Verstoß mit Meldepflicht und Bußgeldrisiko. Deshalb reicht „Ordner auf dem Server" nicht – es braucht klare Zugriffsrechte, Verschlüsselung der sensibelsten Felder und ein Fristen-/Löschregime.

Aufbewahren müssen: die wichtigsten Fristen

Steuer- und Sozialrecht verlangen, dass bestimmte Personalunterlagen mehrere Jahre erhalten bleiben. Die folgende Übersicht bündelt die in der Praxis wichtigsten Fristen. Wichtig: Es gilt immer die längste einschlägige Frist für ein Dokument – aber nicht länger, als es einen Grund gibt.

UnterlageFrist (Orientierung)Grundlage
Lohnkonto, Lohnabrechnungen, lohnsteuerrelevante Unterlagen (auch Reisekosten, Fahrtenbücher, Arbeitszeitlisten)6 Jahre§ 41 Abs. 1 S. 9 EStG
Entgeltunterlagen für die Sozialversicherungbis Ende des Kalenderjahres nach der letzten SV-Prüfung§ 28f Abs. 1 SGB IV
Buchungsrelevante Belege (z. B. Lohnjournale als Buchungsbeleg)8 Jahre (seit 2025, vorher 10)§ 147 AO
Bewerbungsunterlagen nach Absagein der Regel 2–6 Monatekeine feste Frist; orientiert an der AGG-Klagefrist (§ 15 Abs. 4 AGG, 2 Monate) plus Puffer
Allgemeine Personalstammdaten/Arbeitsvertrag nach Austritt (soweit keine eigene steuer-/sozialrechtliche Frist greift)Orientierung ~3 Jahreregelmäßige Verjährung, § 195 BGB (Einzelfallbewertung)
Unterlagen zur betrieblichen Altersversorgung / mögliche Langzeitansprüchedeutlich länger (bis zur Verjährung der Ansprüche)Einzelfall, ggf. bis 30 Jahre

Hinweis: Diese Tabelle ist eine Orientierung, kein Rechtsgutachten. Die konkrete Frist im Einzelfall – gerade bei Grenzfällen wie Lohnjournalen (6 oder 8 Jahre) oder Altersversorgung – gehört mit Steuerberater bzw. Datenschutzberater abgestimmt.

Löschen müssen: die Kehrseite der DSGVO

Viele Betriebe kennen die Aufbewahrungspflichten – und übersehen, dass die DSGVO auch eine Löschpflicht kennt. Zwei Artikel sind entscheidend:

  • Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung): Personenbezogene Daten dürfen nur so lange in einer Form gespeichert werden, die eine Identifizierung ermöglicht, wie es für den Zweck erforderlich ist.
  • Art. 17 DSGVO (Recht auf Löschung): Sind Daten für den Zweck nicht mehr nötig oder ist die Aufbewahrungsfrist abgelaufen, sind sie zu löschen – auf Antrag der betroffenen Person, aber auch von sich aus.

Das heißt konkret: Wenn die 6-jährige Lohnsteuer-Frist abgelaufen ist und kein anderer Grund (z. B. laufendes Verfahren) mehr besteht, muss das Dokument gelöscht werden. „Wir heben sicherheitshalber alles für immer auf" ist kein zulässiges Vorgehen, sondern selbst ein Verstoß.

Der schwierige Teil in der Praxis ist die selektive Löschung: Eine Personalakte enthält Dokumente mit ganz unterschiedlichen Fristen. Man kann nicht die ganze Akte auf einmal löschen, sobald die kürzeste Frist abläuft – und auch nicht bis zur längsten warten. Es braucht ein System, das je Dokument die Frist kennt.

→ Wann welche Frist abläuft, hilft der Löschfristen-Rechner zu bestimmen.

Verschlüsseln müssen: Steuer-ID, IBAN, SV-Nummer & Co.

Art. 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten – ausdrücklich nennt die Verordnung die Verschlüsselung als Beispiel. Für die Personalakte bedeutet das:

  • Sensible Kennungen – Steuer-ID, IBAN, Sozialversicherungsnummer – sollten verschlüsselt gespeichert sein, nicht im Klartext in einer Tabelle, die jeder mit Server-Zugriff öffnen kann.
  • Zugriffsrechte müssen abgestuft sein: Nicht jede Führungskraft braucht die Kontodaten aller Mitarbeitenden. Wer sieht was, gehört rollenbasiert geregelt.
  • Gesundheitsdaten (Art. 9 DSGVO) verlangen ein besonders hohes Schutzniveau und einen eng begrenzten Zugriff.
  • Jeder Zugriff auf sensible Daten sollte protokolliert werden, damit im Ernstfall nachvollziehbar ist, wer wann welche Akte geöffnet hat.

Bewerberdaten: der am häufigsten übersehene Löschfall

Nach einer Absage haben Sie in der Regel keinen Grund mehr, die Bewerbungsunterlagen zu behalten – mit einer Ausnahme: dem AGG-Risiko. Ein abgelehnter Bewerber kann innerhalb von 2 Monaten (§ 15 Abs. 4 AGG) eine Entschädigung wegen Diskriminierung geltend machen. Zur Verteidigung dürfen Sie die Unterlagen bis zum Ablauf dieser Frist (plus einem angemessenen Puffer für Zustellung/Verfahren) aufbewahren – üblich sind 2 bis 6 Monate. Danach muss gelöscht werden.

Wollen Sie einen Bewerber im Talent-Pool halten, brauchen Sie dafür seine ausdrückliche Einwilligung – ohne die ist das längere Speichern unzulässig.

Warum das gerade Gebäudereiniger betrifft

Die Branche hat eine hohe Personalfluktuation, saisonale Kräfte und viele Ein- und Austritte. Genau dort entstehen die typischen Fehler: Akten ausgeschiedener Mitarbeitender liegen jahrelang unverändert weiter, Bewerbungsstapel werden nie gelöscht, sensible Daten stehen in geteilten Tabellen. Kommt eine Datenpanne oder eine Betroffenen-Anfrage, wird aus der Schlamperei schnell ein meldepflichtiger Vorfall.

Ein strukturiertes, digitales Aktenregime dreht das um: klare Fristen je Dokument, automatische Löscherinnerungen, verschlüsselte Sensibelfelder und protokollierte Zugriffe.

Wie CERTISCAN die Personalakte absichert

CERTISCAN ist eine modulare Compliance- und Betriebsplattform für Gebäudereinigung, Handwerk und KMU. Die Personalverwaltung ist von Grund auf datenschutzorientiert gebaut:

  • Verschlüsselte Sensibelfelder: Steuer-ID, IBAN und SV-Nummer werden verschlüsselt gespeichert (AES-256-GCM) – nicht offen lesbar in einer Tabelle.
  • Löschpfad nach Art. 17: Für ausgeschiedene Mitarbeitende existiert ein echter Löschpfad, der die noch laufenden Aufbewahrungspflichten prüft, bevor gelöscht wird (fail-closed – im Zweifel wird nicht vorschnell gelöscht, sondern die Frist berücksichtigt), und der die Löschung protokolliert.
  • Manipulationssicherer Audit-Trail: Sicherheitsrelevante Zugriffe und Änderungen laufen in einen WORM-Audit-Trail (wer/wann/was) – Grundlage für Nachvollziehbarkeit gegenüber der Aufsichtsbehörde.
  • Rollen und Rechte: Zugriff auf Personaldaten ist rollenbasiert – nicht jeder sieht alles.

Ehrlich eingeordnet: CERTISCAN liefert die technischen Grundlagen (Verschlüsselung, Löschpfad mit Fristprüfung, Audit-Trail, Rechte). Die konkrete Festlegung, welche Frist für welches Dokument in Ihrem Betrieb gilt, bleibt eine fachliche Entscheidung – idealerweise mit Steuerberater und Datenschutzberater abgestimmt. Der Löschpfad setzt um, was Sie festlegen.

→ Die weiteren DSGVO-Pflichten im Reinigungsalltag (AV-Verträge mit Auftraggebern, Objektfotos, 72-Stunden-Meldung) behandelt der Schwester-Artikel DSGVO für Gebäudereiniger.

Not legal advice – provided without warranty. Amounts, deadlines and thresholds may change; consult a professional if in doubt.

Contents
  1. 01Das Wichtigste in 30 Sekunden
  2. 02Warum die Personalakte das sensibelste Datenpaket im Betrieb ist
  3. 03Aufbewahren müssen: die wichtigsten Fristen
  4. 04Löschen müssen: die Kehrseite der DSGVO
  5. 05Verschlüsseln müssen: Steuer-ID, IBAN, SV-Nummer & Co.
  6. 06Bewerberdaten: der am häufigsten übersehene Löschfall
  7. 07Warum das gerade Gebäudereiniger betrifft
  8. 08Wie CERTISCAN die Personalakte absichert

Frequently asked questions

Wie lange muss ich eine Personalakte aufbewahren?
Es gibt keine Einheitsfrist, sondern eine Frist je Dokument. Lohnkonto und lohnsteuerrelevante Unterlagen 6 Jahre (§ 41 EStG), Entgeltunterlagen für die Sozialversicherung bis zum Ende des Kalenderjahres nach der letzten SV-Prüfung (§ 28f SGB IV), buchungsrelevante Belege 8 Jahre (§ 147 AO). Für allgemeine Unterlagen ohne eigene Frist orientiert man sich an der regelmäßigen Verjährung. Es gilt die jeweils längste einschlägige Frist – aber nicht länger.
Muss ich Mitarbeiterdaten nach Ablauf der Frist löschen?
Ja. Nach Art. 5 und Art. 17 DSGVO dürfen personenbezogene Daten nur so lange gespeichert werden, wie sie für den Zweck erforderlich sind oder eine gesetzliche Aufbewahrungspflicht besteht. Fällt beides weg, besteht eine Löschpflicht – auch ohne Antrag der betroffenen Person.
Wie lange darf ich Bewerbungsunterlagen nach einer Absage aufbewahren?
In der Regel 2 bis 6 Monate. Eine feste gesetzliche Frist gibt es nicht; die Orientierung ergibt sich aus der AGG-Klagefrist von 2 Monaten (§ 15 Abs. 4 AGG) plus einem angemessenen Puffer. Danach muss gelöscht werden. Wer Bewerberdaten länger für einen Talent-Pool behalten will, braucht eine ausdrückliche Einwilligung.
Müssen Steuer-ID, IBAN und SV-Nummer verschlüsselt werden?
Art. 32 DSGVO verlangt geeignete Schutzmaßnahmen und nennt die Verschlüsselung ausdrücklich als Beispiel. Für besonders schützenswerte Kennungen wie Steuer-ID, IBAN und SV-Nummer ist eine Verschlüsselung dringend zu empfehlen, statt sie im Klartext in einer allgemein zugänglichen Tabelle zu führen.
Darf ich sicherheitshalber einfach alles für immer aufheben?
Nein. „Alles für immer aufbewahren" widerspricht dem Grundsatz der Speicherbegrenzung (Art. 5 DSGVO) und kann selbst ein Datenschutzverstoß sein. Aufbewahrt werden darf nur, was für den Zweck nötig ist oder einer gesetzlichen Aufbewahrungspflicht unterliegt.
Was ist bei Gesundheitsdaten in der Personalakte zu beachten?
Gesundheitsdaten gehören zu den besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) und verlangen ein besonders hohes Schutzniveau: eng begrenzter Zugriff, getrennte bzw. besonders geschützte Ablage und eine tragfähige Rechtsgrundlage. Sie sollten nicht mit allgemeinen Personaldaten frei zugänglich vermischt werden.
Wie lösche ich einzelne Dokumente, wenn die Akte unterschiedliche Fristen enthält?
Das ist der Kern: Eine Personalakte enthält Dokumente mit verschiedenen Fristen, die selektiv gelöscht werden müssen – nicht die ganze Akte auf einmal. Dafür braucht es ein System, das je Dokument die Frist kennt und zum richtigen Zeitpunkt löscht bzw. daran erinnert.

More guides

DSGVO für Gebäudereiniger: Auftragsverarbeitung, Objektfotos & MitarbeiterdatenSteuerfreie Zuschläge nach § 3b EStG: Nacht, Sonntag & Feiertag richtig abrechnenCompliance-Pflichten Gebäudereinigung 2026: Die komplette Checkliste

Related glossary terms

Compliance & AuditAudit-Trail

Related calculators

Datenschutz & IT-SicherheitLöschfristen DSGVO: Wann Daten löschen?
Compliance without the paperwork
Certiscan maps ISO standards, DGUV V3 and audits digitally – in one app.
Start free
CERTISCAN

Compliance & operations in one app. Made & hosted in Germany.

Product
SolutionsModulesToolsKnowledgeGlossaryTrust CenterPricingBlog
Company
AboutContact
Legal
PrivacyImprintTermsDPAAccessibility
© 2026 CERTISCAN · Christoph Schulz · Siegen
AES-256 · DSGVO · WORM-Audit