Digitale Personalakte DSGVO-konform: Aufbewahrung, Löschfristen, Verschlüsselung
Die Personalakte ist ein Datenschutz-Minenfeld: Sie enthält die sensibelsten Daten Ihres Betriebs – Steuer-ID, IBAN, Sozialversicherungsnummer, oft Gesundheits- und Aufenthaltsdaten. Für die DSGVO gilt ein einfaches Prinzip: Daten dürfen nur so lange gespeichert werden, wie es einen Grund dafür gibt. Gleichzeitig zwingen Steuer- und Sozialrecht dazu, bestimmte Unterlagen mehrere Jahre aufzuheben. Aus diesem Spannungsfeld – aufbewahren müssen und löschen müssen – entsteht die zentrale Aufgabe: die richtige Frist je Dokument kennen und einhalten. Dieser Leitfaden ordnet die wichtigsten Aufbewahrungsfristen, erklärt die Löschpflicht nach Art. 17 DSGVO und zeigt, warum sensible Felder verschlüsselt gehören.
Das Wichtigste in 30 Sekunden
Die Personalakte muss zwei gegenläufige Pflichten gleichzeitig erfüllen: lange genug aufbewahren (Steuer-/Sozialrecht) und rechtzeitig löschen (DSGVO). Das Ergebnis ist keine Einheitsfrist, sondern eine Frist je Dokumentart:
- Löschgrundsatz (Art. 5 & 17 DSGVO): Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für den Zweck erforderlich sind oder eine gesetzliche Aufbewahrungspflicht besteht. Fällt beides weg, muss gelöscht werden.
- Typische Aufbewahrungsfristen: Lohnkonto und lohnsteuerrelevante Unterlagen 6 Jahre (§ 41 EStG); Entgeltunterlagen für die Sozialversicherung bis zum Ende des Kalenderjahres nach der letzten SV-Prüfung (§ 28f SGB IV); Bewerberdaten nach Absage in der Regel 2–6 Monate.
- Verschlüsselung (Art. 32 DSGVO): Besonders schützenswerte Felder wie Steuer-ID, IBAN und SV-Nummer gehören technisch geschützt – idealerweise verschlüsselt – und nicht offen in einer Excel-Tabelle.
Kurz: Eine ordentliche digitale Personalakte kennt für jedes Dokument seine Frist, löscht automatisch, wenn kein Grund mehr besteht, und verschlüsselt die sensibelsten Daten. Dieser Leitfaden zeigt, wie das gelingt.
Warum die Personalakte das sensibelste Datenpaket im Betrieb ist
In kaum einem anderen Ordner liegen so viele geschützte Daten wie in der Personalakte. Für einen Gebäudereinigungsbetrieb mit migrationsgeprägter, oft wechselnder Belegschaft kommen typischerweise zusammen:
- Identifikations- und Abrechnungsdaten: Name, Anschrift, Geburtsdatum, Steuer-Identifikationsnummer, Sozialversicherungsnummer, IBAN.
- Aufenthalts- und Arbeitserlaubnisdaten – teils besonders sensibel.
- Gesundheitsbezogene Daten (Art. 9 DSGVO, „besondere Kategorien"): Arbeitsunfähigkeitszeiten, Ergebnisse arbeitsmedizinischer Vorsorge, ggf. Schwerbehinderung.
- Bewerbungs- und Beurteilungsunterlagen, Abmahnungen, Zeugnisse.
Ein Datenleck hier ist kein Ärgernis, sondern ein DSGVO-Verstoß mit Meldepflicht und Bußgeldrisiko. Deshalb reicht „Ordner auf dem Server" nicht – es braucht klare Zugriffsrechte, Verschlüsselung der sensibelsten Felder und ein Fristen-/Löschregime.
Aufbewahren müssen: die wichtigsten Fristen
Steuer- und Sozialrecht verlangen, dass bestimmte Personalunterlagen mehrere Jahre erhalten bleiben. Die folgende Übersicht bündelt die in der Praxis wichtigsten Fristen. Wichtig: Es gilt immer die längste einschlägige Frist für ein Dokument – aber nicht länger, als es einen Grund gibt.
| Unterlage | Frist (Orientierung) | Grundlage |
|---|---|---|
| Lohnkonto, Lohnabrechnungen, lohnsteuerrelevante Unterlagen (auch Reisekosten, Fahrtenbücher, Arbeitszeitlisten) | 6 Jahre | § 41 Abs. 1 S. 9 EStG |
| Entgeltunterlagen für die Sozialversicherung | bis Ende des Kalenderjahres nach der letzten SV-Prüfung | § 28f Abs. 1 SGB IV |
| Buchungsrelevante Belege (z. B. Lohnjournale als Buchungsbeleg) | 8 Jahre (seit 2025, vorher 10) | § 147 AO |
| Bewerbungsunterlagen nach Absage | in der Regel 2–6 Monate | keine feste Frist; orientiert an der AGG-Klagefrist (§ 15 Abs. 4 AGG, 2 Monate) plus Puffer |
| Allgemeine Personalstammdaten/Arbeitsvertrag nach Austritt (soweit keine eigene steuer-/sozialrechtliche Frist greift) | Orientierung ~3 Jahre | regelmäßige Verjährung, § 195 BGB (Einzelfallbewertung) |
| Unterlagen zur betrieblichen Altersversorgung / mögliche Langzeitansprüche | deutlich länger (bis zur Verjährung der Ansprüche) | Einzelfall, ggf. bis 30 Jahre |
Hinweis: Diese Tabelle ist eine Orientierung, kein Rechtsgutachten. Die konkrete Frist im Einzelfall – gerade bei Grenzfällen wie Lohnjournalen (6 oder 8 Jahre) oder Altersversorgung – gehört mit Steuerberater bzw. Datenschutzberater abgestimmt.
Löschen müssen: die Kehrseite der DSGVO
Viele Betriebe kennen die Aufbewahrungspflichten – und übersehen, dass die DSGVO auch eine Löschpflicht kennt. Zwei Artikel sind entscheidend:
- Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung): Personenbezogene Daten dürfen nur so lange in einer Form gespeichert werden, die eine Identifizierung ermöglicht, wie es für den Zweck erforderlich ist.
- Art. 17 DSGVO (Recht auf Löschung): Sind Daten für den Zweck nicht mehr nötig oder ist die Aufbewahrungsfrist abgelaufen, sind sie zu löschen – auf Antrag der betroffenen Person, aber auch von sich aus.
Das heißt konkret: Wenn die 6-jährige Lohnsteuer-Frist abgelaufen ist und kein anderer Grund (z. B. laufendes Verfahren) mehr besteht, muss das Dokument gelöscht werden. „Wir heben sicherheitshalber alles für immer auf" ist kein zulässiges Vorgehen, sondern selbst ein Verstoß.
Der schwierige Teil in der Praxis ist die selektive Löschung: Eine Personalakte enthält Dokumente mit ganz unterschiedlichen Fristen. Man kann nicht die ganze Akte auf einmal löschen, sobald die kürzeste Frist abläuft – und auch nicht bis zur längsten warten. Es braucht ein System, das je Dokument die Frist kennt.
→ Wann welche Frist abläuft, hilft der Löschfristen-Rechner zu bestimmen.
Verschlüsseln müssen: Steuer-ID, IBAN, SV-Nummer & Co.
Art. 32 DSGVO verlangt „geeignete technische und organisatorische Maßnahmen" zum Schutz personenbezogener Daten – ausdrücklich nennt die Verordnung die Verschlüsselung als Beispiel. Für die Personalakte bedeutet das:
- Sensible Kennungen – Steuer-ID, IBAN, Sozialversicherungsnummer – sollten verschlüsselt gespeichert sein, nicht im Klartext in einer Tabelle, die jeder mit Server-Zugriff öffnen kann.
- Zugriffsrechte müssen abgestuft sein: Nicht jede Führungskraft braucht die Kontodaten aller Mitarbeitenden. Wer sieht was, gehört rollenbasiert geregelt.
- Gesundheitsdaten (Art. 9 DSGVO) verlangen ein besonders hohes Schutzniveau und einen eng begrenzten Zugriff.
- Jeder Zugriff auf sensible Daten sollte protokolliert werden, damit im Ernstfall nachvollziehbar ist, wer wann welche Akte geöffnet hat.
Bewerberdaten: der am häufigsten übersehene Löschfall
Nach einer Absage haben Sie in der Regel keinen Grund mehr, die Bewerbungsunterlagen zu behalten – mit einer Ausnahme: dem AGG-Risiko. Ein abgelehnter Bewerber kann innerhalb von 2 Monaten (§ 15 Abs. 4 AGG) eine Entschädigung wegen Diskriminierung geltend machen. Zur Verteidigung dürfen Sie die Unterlagen bis zum Ablauf dieser Frist (plus einem angemessenen Puffer für Zustellung/Verfahren) aufbewahren – üblich sind 2 bis 6 Monate. Danach muss gelöscht werden.
Wollen Sie einen Bewerber im Talent-Pool halten, brauchen Sie dafür seine ausdrückliche Einwilligung – ohne die ist das längere Speichern unzulässig.
Warum das gerade Gebäudereiniger betrifft
Die Branche hat eine hohe Personalfluktuation, saisonale Kräfte und viele Ein- und Austritte. Genau dort entstehen die typischen Fehler: Akten ausgeschiedener Mitarbeitender liegen jahrelang unverändert weiter, Bewerbungsstapel werden nie gelöscht, sensible Daten stehen in geteilten Tabellen. Kommt eine Datenpanne oder eine Betroffenen-Anfrage, wird aus der Schlamperei schnell ein meldepflichtiger Vorfall.
Ein strukturiertes, digitales Aktenregime dreht das um: klare Fristen je Dokument, automatische Löscherinnerungen, verschlüsselte Sensibelfelder und protokollierte Zugriffe.
Wie CERTISCAN die Personalakte absichert
CERTISCAN ist eine modulare Compliance- und Betriebsplattform für Gebäudereinigung, Handwerk und KMU. Die Personalverwaltung ist von Grund auf datenschutzorientiert gebaut:
- Verschlüsselte Sensibelfelder: Steuer-ID, IBAN und SV-Nummer werden verschlüsselt gespeichert (AES-256-GCM) – nicht offen lesbar in einer Tabelle.
- Löschpfad nach Art. 17: Für ausgeschiedene Mitarbeitende existiert ein echter Löschpfad, der die noch laufenden Aufbewahrungspflichten prüft, bevor gelöscht wird (fail-closed – im Zweifel wird nicht vorschnell gelöscht, sondern die Frist berücksichtigt), und der die Löschung protokolliert.
- Manipulationssicherer Audit-Trail: Sicherheitsrelevante Zugriffe und Änderungen laufen in einen WORM-Audit-Trail (wer/wann/was) – Grundlage für Nachvollziehbarkeit gegenüber der Aufsichtsbehörde.
- Rollen und Rechte: Zugriff auf Personaldaten ist rollenbasiert – nicht jeder sieht alles.
Ehrlich eingeordnet: CERTISCAN liefert die technischen Grundlagen (Verschlüsselung, Löschpfad mit Fristprüfung, Audit-Trail, Rechte). Die konkrete Festlegung, welche Frist für welches Dokument in Ihrem Betrieb gilt, bleibt eine fachliche Entscheidung – idealerweise mit Steuerberater und Datenschutzberater abgestimmt. Der Löschpfad setzt um, was Sie festlegen.
→ Die weiteren DSGVO-Pflichten im Reinigungsalltag (AV-Verträge mit Auftraggebern, Objektfotos, 72-Stunden-Meldung) behandelt der Schwester-Artikel DSGVO für Gebäudereiniger.
Not legal advice – provided without warranty. Amounts, deadlines and thresholds may change; consult a professional if in doubt.