DSGVO, Mitbestimmung und Aufbewahrungsfristen: Die Personalakte rechtssicher digitalisieren!
Teil 3 unserer dreiteiligen Reihe zur digitalen Personalakte in sozialen Einrichtungen.
(Link zu Teil 1: Digitale Personalakte) (Link zu Teil 2: Arbeitszeiterfassung)
Eine Personalakte enthält das Vertraulichste, was ein Arbeitgeber über seine Beschäftigten weiß. Bewerbungsunterlagen, Arbeitsverträge, Beurteilungen, Krankmeldungen, Lohnabrechnungen, Sozialversicherungsdaten – all das landet in einer Akte, die früher physisch in einem Aktenschrank stand und heute zunehmend digital geführt wird. Mit der Digitalisierung verschwinden die alten Schutzmechanismen: kein Schloss mehr am Aktenschrank, keine räumliche Trennung, keine handschriftlichen Vermerke, wer wann welche Akte gezogen hat. An ihre Stelle treten technische Schutzmaßnahmen, Berechtigungskonzepte, Audit-Logs und automatisierte Löschfristen.
In den ersten beiden Teilen dieser Reihe ging es um die digitale Personalakte als Ganzes und um die Arbeitszeiterfassung nach dem BAG-Urteil. In diesem dritten und letzten Teil widmen wir uns dem, was viele Träger als die schwierigste Hürde wahrnehmen: dem rechtssicheren Aufsetzen der digitalen Akte. Datenschutz, Mitbestimmung und Aufbewahrungsfristen sind keine drei isolierten Themen, die nacheinander abgehakt werden – sie greifen ineinander. Wer eines davon vernachlässigt, hat später ein Problem. Wer sie zusammen denkt, baut von Anfang an etwas Tragfähiges.
Das klingt nach einem trockenen Pflichtthema. Tatsächlich ist es aber das, was über Vertrauen oder Misstrauen entscheidet – im Team, gegenüber der Mitarbeitendenvertretung und gegenüber den Aufsichtsbehörden.
Welche Daten gehören in die Personalakte – und welche nicht
Bevor man über Datenschutz spricht, muss klar sein, was überhaupt in die Personalakte gehört. Das ist weniger trivial, als es klingt. Grundsätzlich gilt der Erforderlichkeitsgrundsatz aus § 26 Bundesdatenschutzgesetz: Aufgenommen werden darf, was für das Arbeitsverhältnis erforderlich ist. Nicht mehr, nicht weniger.
Erforderlich sind eindeutig die Stammdaten der Mitarbeitenden, der Arbeitsvertrag, Zeugnisse und Qualifikationsnachweise, Beurteilungen, Abmahnungen, Urlaubsanträge, Krankmeldungen ohne Diagnose, Lohnunterlagen, Sozialversicherungsdaten und – in der Sozialen Arbeit besonders relevant – das erweiterte Führungszeugnis nach § 72a SGB VIII sowie Nachweise zu Pflichtfortbildungen. All das hat einen unmittelbaren Bezug zur Beschäftigung.
Heikler wird es bei Daten, die häufig unbedacht in Personalakten landen, dort aber nichts zu suchen haben. Diagnosen aus Arbeitsunfähigkeitsbescheinigungen gehören nicht in die Personalakte – die Tatsache der Krankschreibung schon, der Grund nicht. Das gilt selbst dann, wenn die Diagnose auf der eAU steht: Die Personalverwaltung darf den Diagnose-Code im Regelfall nicht sehen. Vermerke über persönliche Gespräche, in denen Mitarbeitende sich zu privaten Themen geäußert haben, gehören ebenso wenig in die Akte wie politische, religiöse oder gewerkschaftliche Einstellungen. Auch Bewerbungsunterlagen abgelehnter Bewerber:innen müssen nach kurzer Zeit gelöscht werden, sofern keine Zustimmung für eine längere Speicherung vorliegt.
Wer eine Personalsoftware einführt, sollte deshalb nicht einfach alles digital erfassen, was bisher im Papierordner lag. Die Migration ist ein guter Zeitpunkt, um Bestände zu sichten und auszumisten – idealerweise zusammen mit der Mitarbeitendenvertretung.
DSGVO und BDSG: Die rechtlichen Grundlagen kompakt
Der Datenschutz im Beschäftigungsverhältnis ist auf zwei Ebenen geregelt. Die Datenschutz-Grundverordnung (DSGVO) bildet den europäischen Rahmen und legt die Grundsätze fest: Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht. Für das Arbeitsverhältnis gibt es darüber hinaus spezielle nationale Regelungen, vor allem in § 26 Bundesdatenschutzgesetz.
Die Verarbeitung personenbezogener Daten ist nach Art. 6 DSGVO nur zulässig, wenn eine Rechtsgrundlage vorliegt – im Beschäftigungsverhältnis ist das in der Regel die Erforderlichkeit für die Durchführung des Arbeitsvertrags. Bei besonders sensiblen Daten wie Gesundheitsdaten, Religionszugehörigkeit oder gewerkschaftlicher Tätigkeit gilt zusätzlich Art. 9 DSGVO, der noch strengere Anforderungen stellt. Diese Daten dürfen nur in eng definierten Ausnahmefällen verarbeitet werden – und auch dann unter erhöhten Schutzmaßnahmen.
Konkret bedeutet das für eine digitale Personalakte: Sie muss in einer Form gehalten werden, die den Schutz dieser Daten gewährleistet. Dazu gehören Verschlüsselung sowohl bei der Übertragung als auch bei der Speicherung, ein klares Berechtigungskonzept, Protokollierung von Zugriffen, ein Verfahren für Auskunfts- und Löschungsanfragen der Beschäftigten, eine ordnungsgemäße Auftragsverarbeitung mit dem Software-Anbieter und ein Verarbeitungsverzeichnis. All das sind keine Kann-Regelungen – sie sind Pflicht.
In der Sozialwirtschaft kommt eine Besonderheit hinzu: Die Klient:innen-Daten unterliegen oft noch strengeren Regeln, etwa der Schweigepflicht nach § 203 StGB. Eine Personalsoftware, die im selben System wie die Klientendaten läuft, muss deshalb sicherstellen, dass die Datentöpfe sauber getrennt sind – und dass keine Teamleitung, die Personalakten einsieht, gleichzeitig in fremde Klientenakten schauen kann.
Aufbewahrungsfristen: Was muss wann gelöscht werden
Hier kommt einer der häufigsten Stolpersteine. Personalverwaltungen neigen dazu, alles möglichst lange aufzuheben – aus Sicherheitsdenken, aus Bequemlichkeit, aus Unsicherheit. Tatsächlich verlangt die DSGVO aber das Gegenteil: Daten dürfen nur so lange gespeichert werden, wie sie für den ursprünglichen Zweck gebraucht werden. Was darüber hinausgeht, muss gelöscht werden.
Die genauen Fristen ergeben sich aus verschiedenen Gesetzen. Bewerbungsunterlagen abgelehnter Bewerber:innen sollten in der Regel innerhalb von sechs Monaten nach Abschluss des Verfahrens gelöscht werden – diese Frist orientiert sich an der Klagefrist aus dem Allgemeinen Gleichbehandlungsgesetz. Wenn die Bewerber:innen einer längeren Speicherung etwa für einen Talentpool zugestimmt haben, kann die Frist verlängert werden. Lohnunterlagen müssen sechs Jahre aufbewahrt werden, steuerlich relevante Unterlagen zehn Jahre. Sozialversicherungsunterlagen unterliegen je nach Art unterschiedlichen Fristen, in vielen Fällen zehn Jahre. Arbeitsverträge und Personalakten von ausgeschiedenen Mitarbeitenden müssen unter Umständen bis zu 30 Jahre lang aufbewahrt werden, weil etwaige Pensionsansprüche oder berufsgenossenschaftliche Fragen so lange relevant bleiben können. Die genauen Fristen sollte jeder Träger gemeinsam mit der oder dem Datenschutzbeauftragten und der Lohnbuchhaltung festlegen, weil tarifliche Besonderheiten und einrichtungsspezifische Vereinbarungen die Fristen weiter beeinflussen können.
Der entscheidende Punkt ist: Eine gute Personalsoftware automatisiert diese Fristen. Sie kennt die Klassifikation der Dokumente, sie kennt die jeweilige Frist, und sie sorgt dafür, dass Dokumente am Ende der Aufbewahrungszeit entweder automatisch gelöscht oder zur Prüfung vorgelegt werden. Wer Personalakten manuell pflegen muss, übersieht im Alltag immer einen Teil – das ist menschlich und kein böser Wille, aber datenschutzrechtlich ein Problem.
Zugriffsrechte: Wer darf was sehen
Eine digitale Personalakte ist nicht für alle gleich offen. Wer welche Daten einsehen darf, bestimmt sich nach dem Need-to-know-Prinzip: Jede Person bekommt nur die Daten, die sie für ihre konkrete Aufgabe braucht.
In der Praxis bedeutet das gestaffelte Rollen. Die Mitarbeitenden selbst sehen ihre eigene Akte – ihren Vertrag, ihre Lohnabrechnungen, ihre Urlaubsanträge, ihre Stundenkonten. Sie haben außerdem das Recht, Auskunft über alle gespeicherten Daten zu verlangen und Korrekturen einzufordern. Die Teamleitung sieht für ihr Team das, was für die operative Steuerung erforderlich ist – Anwesenheiten, Urlaubsanträge, Stundenkonten, Krankmeldungen ohne Diagnose. Sie sieht aber weder Lohndaten noch Beurteilungen noch persönliche Vermerke, und sie sieht auch nichts aus anderen Teams. Die Personalverwaltung sieht den vollen Akteninhalt der Beschäftigten, mit denen sie arbeitet, hat aber keinen Zugriff auf Klientenakten. Die Geschäftsführung kann sich Gesamtauswertungen ziehen, in der Regel aggregiert, also nicht auf die einzelne Person bezogen, außer es liegt ein konkreter Anlass vor. Externe wie Steuerberatungen oder Lohnbüros bekommen nur, was sie für ihre Aufgabe brauchen – und auch das nur über sauber dokumentierte Schnittstellen mit Auftragsverarbeitungsvertrag.
Was technisch dahintersteht, ist ein Berechtigungskonzept, das in einer guten Software fein granular einstellbar ist. In der Sozialen Arbeit ist das deshalb so wichtig, weil die Strukturen oft komplex sind: Komplexträger mit zehn Standorten, mit Bereichsleitungen, die teils auch operativ in Teams arbeiten, mit Stellen, die mehrere Funktionen kombinieren. Eine Software, die nur drei Standardrollen kennt, scheitert hier. Was funktioniert, ist ein System, in dem Rollen und Standorte sich kombinieren lassen – und in dem die Mitbestimmungsgremien einsehen können, wer welche Rechte hat.
Mitbestimmung in der Sozialwirtschaft
Die Einführung und der Betrieb einer digitalen Personalakte sind mitbestimmungspflichtig. In Einrichtungen mit Betriebsrat regelt das § 87 BetrVG: Sobald eine technische Einrichtung dazu geeignet ist, das Verhalten oder die Leistung von Beschäftigten zu überwachen – und das ist bei einer digitalen Personalakte per Definition der Fall – muss der Betriebsrat zustimmen. Bei kirchlichen Trägern gilt nach den jeweiligen Mitarbeitervertretungsordnungen Vergleichbares mit der Mitarbeitendenvertretung.
Was Mitbestimmungsgremien zu Recht verlangen, ist Transparenz und Mitgestaltung. Welche Daten werden erfasst, welche nicht? Wer hat Zugriff worauf? Wie werden die Daten verwendet – nur für Lohn und Personalverwaltung, oder auch für Leistungsbewertungen? Wie lange werden sie aufbewahrt? Wie können Mitarbeitende ihre Daten einsehen, korrigieren, löschen lassen? Wie wird gewährleistet, dass das System nicht zur heimlichen Verhaltenskontrolle wird? Und nicht zuletzt: Was passiert, wenn der Software-Anbieter sich ändert oder die Einrichtung das System wechseln will?
In vielen Trägern wird die MAV als Bremse wahrgenommen – als Gremium, das Projekte verzögert. Tatsächlich ist die Erfahrung, die wir in vielen Trägergesprächen sammeln, eine andere: MAV und Betriebsräte sind oft die besten Partner, wenn sie früh einbezogen werden. Sie kennen das Misstrauen der Belegschaft. Sie wissen, welche Sorgen Mitarbeitende mit „die da oben sehen jetzt alles“ verbinden. Und sie können diese Sorgen einfangen, wenn sie an der Gestaltung beteiligt sind. Eine Dienstvereinbarung oder Betriebsvereinbarung, die gemeinsam erarbeitet wird, schafft Akzeptanz. Eine Software, die ohne Einbindung eingeführt wird, erzeugt Misstrauen – das später schwer wieder einzufangen ist.
Die Praxis sieht oft so aus: Die Geschäftsführung entscheidet sich für eine Software, das Projekt läuft an, irgendwann fällt jemandem ein, dass die MAV ja noch zustimmen muss. Dann beginnen Verhandlungen über bereits getroffene Entscheidungen, die niemand mehr revidieren will. Das ist die teuerste Variante. Die billigste ist, die Mitbestimmungsgremien von der ersten Anbieter-Sichtung an einzubeziehen.
Was eine technisch saubere Lösung mitbringen muss
Aus den Anforderungen von DSGVO, BDSG und Mitbestimmung ergibt sich ein klares Bild davon, was eine Personalsoftware können muss. Es geht nicht nur darum, ob sie schick aussieht oder mobil funktioniert – es geht darum, ob sie die rechtlichen Anforderungen tatsächlich erfüllt.
Sie muss ein feingranulares Rollen- und Rechtekonzept haben, in dem sich Standorte, Bereiche, Teams und Funktionsrollen kombinieren lassen. Sie muss Audit-Logs führen, die nachvollziehbar machen, wer wann was eingesehen oder geändert hat – ohne dass diese Logs selbst zur Verhaltenskontrolle werden, was wiederum eine Frage der Konfiguration ist. Sie muss Aufbewahrungsfristen für unterschiedliche Dokumentenarten verwalten und automatisch zur Löschung oder zum Re-Klassifizieren vorlegen können. Sie muss Auskunfts- und Korrekturanfragen der Beschäftigten unterstützen, idealerweise mit einem Self-Service-Bereich, in dem Mitarbeitende ihre Daten einsehen können. Sie muss saubere Schnittstellen zur Lohnbuchhaltung haben, die ebenfalls dem Datenschutz entsprechen.
Auf der Anbieter-Seite gehören dazu ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, ein Verfahren für Datenpannen, Standorte der Datenverarbeitung im EU-Raum oder unter angemessenem Schutzniveau, Verschlüsselung sowohl in der Übertragung als auch im Ruhezustand, regelmäßige Sicherheitsaudits und eine klar benannte datenschutzbeauftragte Person. Diese Dinge stehen in den Verträgen – wer sie nicht findet oder nicht erklärt bekommt, sollte hellhörig werden.
In der Sozialwirtschaft kommt noch ein Punkt hinzu: Die Datentrennung zwischen Personalakten und Klientenakten muss auf Datenebene gewährleistet sein, nicht nur auf der Oberfläche. Eine Teamleitung, die für ihr Team Personalakten verwaltet, darf eben nicht – etwa über Umwege wie Suchfunktionen oder Datenexporte – an Klientendaten kommen, für die sie keine Berechtigung hat. Das ist technisch anspruchsvoller, als es klingt, und sollte im Verkaufsgespräch gezielt angesprochen werden.
Migration: Was passiert mit den Bestandsakten
Wer heute auf eine digitale Personalakte umstellt, hat in den meisten Fällen schon einen Bestand. Papierakten in Schränken, Excel-Listen auf Netzwerklaufwerken, gescannte PDFs in Cloud-Ordnern, Daten in einem alten System, das abgelöst werden soll. Diese Bestände sauber in das neue System zu überführen, ist mehr als ein Software-Wechsel – es ist ein Aktenmanagement-Projekt, das eigene Disziplin braucht.
Der erste Schritt ist eine Bestandsaufnahme. Welche Akten gibt es überhaupt, in welchem Zustand, an welchen Orten? Welche Daten sind aktuell, welche überaltert? Welche Akten gehören zu Mitarbeitenden, die längst nicht mehr in der Einrichtung sind, aber deren Daten noch aufbewahrungspflichtig sind? Diese Bestandsaufnahme ist oft ernüchternd – und gleichzeitig eine Chance, alte Versäumnisse zu bereinigen.
Der zweite Schritt ist die Klassifikation. Jedes Dokument bekommt einen Typ und damit eine Aufbewahrungsfrist. Was bisher im Ordner „Personalakte“ lag, wird differenziert: Arbeitsvertrag (lange Frist), Krankmeldungen (kürzere Frist), Lohnabrechnungen (steuerliche Frist), Bewerbungsunterlagen abgelehnter Bewerber:innen (sechs Monate, sofern nicht zugestimmt). Diese Klassifikation ist die Grundlage dafür, dass das neue System die Fristen ab Tag eins automatisiert verwalten kann.
Der dritte Schritt ist die eigentliche Migration. Papierakten werden gescannt, idealerweise mit Texterkennung, sodass die Inhalte später durchsuchbar sind. Daten aus Altsystemen werden exportiert und in das neue System eingespielt. Hier sollte sehr genau geprüft werden, dass keine Daten verloren gehen – aber auch, dass keine Daten unbeabsichtigt mit übernommen werden, die eigentlich gelöscht werden müssten.
Der vierte Schritt ist die Bereinigung. Das ist der unangenehme Teil: Was muss tatsächlich gelöscht werden? Welche Akten von ausgeschiedenen Mitarbeitenden sind über die Aufbewahrungsfrist hinaus gespeichert worden, einfach weil sie da waren? Eine Migration ist der natürliche Anlass, diese Bestände zu bereinigen – und gleichzeitig der schwierigste, weil sich nach Jahren Datenballast aufgetürmt hat.
Wichtig: Der gesamte Migrationsprozess ist mitbestimmungspflichtig und sollte mit der MAV oder dem Betriebsrat abgestimmt sein. Was hier passiert, ist nicht nur ein technischer Vorgang, sondern eine Neuorganisation der Personalakten – mit allen rechtlichen Implikationen.
Worauf ihr bei der Auswahl achten solltet
Wenn ihr aktuell eine Personalsoftware aussucht, lohnen sich ein paar Fragen, die die rechtliche Seite betreffen. Wo werden die Daten gespeichert – im EU-Raum oder außerhalb? Welche Verschlüsselung wird eingesetzt, sowohl im Ruhezustand als auch bei der Übertragung? Wie sieht der Auftragsverarbeitungsvertrag aus, gibt es einen Standardvertrag oder müsst ihr individuell verhandeln?
Wie granular ist das Berechtigungskonzept – könnt ihr einer Teamleitung Rechte für ein bestimmtes Team an einem bestimmten Standort geben, ohne dass sie automatisch andere Bereiche einsehen kann? Werden Aufbewahrungsfristen automatisch verwaltet, mit unterschiedlichen Fristen für unterschiedliche Dokumentenarten? Gibt es einen Self-Service-Bereich, in dem Mitarbeitende ihre eigenen Daten einsehen, korrigieren oder Auskunft anfordern können? Werden Zugriffe protokolliert – und wie wird sichergestellt, dass diese Protokolle nicht zur Verhaltenskontrolle missbraucht werden?
Lässt sich eine Trennung zwischen Personal- und Klientendaten technisch gewährleisten, auch wenn beides im selben System läuft? Was passiert mit den Daten, wenn ihr den Anbieter wechseln wollt – gibt es eine zugesicherte Datenexport-Funktion?
Bei diesen Fragen sollte ein guter Anbieter nicht ausweichen. Wenn er nicht klar antworten kann oder will, ist das ein Warnsignal.
Unser Fazit
Datenschutz, Mitbestimmung und Aufbewahrungsfristen sind die unsichtbaren Fundamente einer digitalen Personalakte. Wer sie sauber aufsetzt, baut etwas, das dauerhaft trägt – und das Vertrauen schafft, im Team und gegenüber den Aufsichtsbehörden. Wer sie übergeht, hat ein paar Monate lang ein gutes Gefühl und danach einen Berg an Nacharbeit.
Mit dieser Reihe haben wir versucht, das Thema digitale Personalakte aus drei Perspektiven zu beleuchten. In Teil 1 ging es um die strategische Frage: Warum eine Personalsoftware in der Sozialen Arbeit nicht als Silo gedacht werden darf, sondern als integrierter Teil der Plattform, in der auch Klientenakten und Dokumentation laufen. In Teil 2 haben wir uns die Arbeitszeiterfassung nach dem BAG-Urteil angeschaut – und gezeigt, dass eine echte, integrierte Erfassung kein Misstrauensvotum ist, sondern ein Werkzeug, von dem alle profitieren. In diesem dritten Teil ging es um das, was alles zusammenhält: die rechtliche und organisatorische Basis, ohne die das beste Tool nichts wert ist.
Was bleibt, ist eine einfache Erkenntnis. In der Sozialen Arbeit ist eine Personalsoftware nicht nur ein Verwaltungswerkzeug. Sie ist Teil der Infrastruktur, die Mitarbeitende, Leitungen und Klient:innen zusammenhält. Sie funktioniert dann am besten, wenn sie integriert ist, wenn sie zur Arbeitsrealität der Branche passt und wenn sie rechtlich sauber aufgesetzt ist. Wer diese drei Dinge zusammen denkt, macht aus einer Pflichterfüllung ein Werkzeug, das wirklich entlastet.
Bei SODISYS ist die Personalsoftware integraler Bestandteil derselben Plattform, in der auch Klientenakten, Dokumentation und Abrechnung laufen. Die Datentrennung zwischen Personal- und Klientendaten ist auf Datenebene gewährleistet, das Berechtigungskonzept ist feingranular, Aufbewahrungsfristen lassen sich automatisiert verwalten – und MAV oder Betriebsrat können sicher sein, dass Verhaltenskontrolle technisch ausgeschlossen ist. Wenn ihr wissen wollt, wie das in eurer Einrichtung aussehen könnte, sprecht uns gern an.