Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 05/26

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Audit ChatGPT Checklisten Muster Vorlagen EuGH Homeoffice KI KRITIS Microsoft 365 NIS-2 Rechenschaftspflicht Urteil
12. Mai 2026

Besonders schützenswerte Personaldaten kontrollieren

DP+
Es ist unzulässig, Personaldaten unbegrenzt aufzubewahren. Nach Ablauf gesetzlicher Aufbewahrungsfristen ist es deshalb geboten, die betreffenden Daten zu löschen.
Bild: iStock.com/smolaw11
0,00 (0)
drucken
Prozesse und Dokumentationen im Personalbereich
Die Verarbeitung von Personaldaten gehört zum sensibelsten Bereich eines Unternehmens oder einer Behörde. Ein nachlässiger interner Schutz kann zu Bußgeldern, Schadensersatzforderungen und Imageschäden führen. Umso wichtiger ist es, möglichst früh einen klaren Prozess zur internen Absicherung von Personaldaten einzuführen und diesen stets zu pflegen.

Neben klassischen Stammdaten verarbeitet der Personalbereich regelmäßig auch Gesundheitsdaten, Abmahnungen, Gehaltsinformationen oder Bewerbungsunterlagen. Damit sind diese Daten nicht nur allgemein nach der Datenschutz-Grundverordnung (DSGVO) zu schützen, sondern fallen teilweise auch unter die besonders schützenswerten Kategorien personenbezogener Daten nach Art. 9 DSGVO.

Warum ist die interne ­Absicherung von Personaldaten essenziell?

Allein die Personalakte begleitet den Mitarbeiter über die Dauer der Betriebszugehörigkeit. Die meisten Inhalte bleiben auch nach dem Ausscheiden des Mitarbeiters noch einige Jahre gespeichert. Zugriffsrechte ohne Grund, unkontrollierte Ablagen oder fehlende Löschkonzepte führen in der Praxis immer wieder zu teils gravierenden Datenschutzverstößen.

Die DSGVO verlangt gemäß Art. 32 geeignete technische und organisatorische Maßnahmen (TOM). Sehr lobenswert, wenn diese auf Papier vorhanden sind. Die praktische Herausforderung liegt allerdings darin, diese Maßnahmen auch zu leben und umzusetzen.

Was sind die ersten Schritte zur internen Absicherung?

Im ersten Schritt ist festzulegen, wer im Unternehmen Zugriff auf Personaldaten benötigt. Hier ist konsequent das „Need-to-know“-Prinzip anzuwenden. Es ist im Vorfeld zu klären, welche Personen Zugriff auf welche Daten benötigen.

Die Zugriffsrechte sind anschließend technisch sauber umzusetzen. Die Einrichtung und Änderungen erfolgen dabei nach dem Vier-Augen-Prinzip. Eine regelmäßige Prüfung und die konsequente Dokumentation dieser Rechte sind dri…

Ilona Bickel
+

Weiterlesen mit Abo

Basic 299 € pro Jahr

1 Online-Zugang
12 PDF-Ausgaben pro Jahr inklusive
Zugriff auf alle Ausgaben und DP+ Arbeitshilfen

Perfekt für alle internen oder externen Datenschutzbeauftragten und Datenschutzkoordinatoren, die im Homeoffice oder mobil arbeiten.

Jetzt testen
Pro 333,95 € pro Jahr
TOP SELLER

1 Online-Zugang
12 Hefte + 12 PDF-Ausgaben pro Jahr inkl. Versand
Zugriff auf alle Ausgaben und DP+ Arbeitshilfen

Perfekt für alle internen oder externen Datenschutzbeauftragten und Datenschutzkoordinatoren, die im Homeoffice oder mobil arbeiten.

Jetzt testen
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
DSGVO
drucken
Verfasst von
DP
Ilona Bickel
Verwandte Beiträge
27. April 2026
DP+
Die Errungenschaft des Datenschutzes musste sich gegen große Widerstände durchsetzen
Bild: iStock.com/D-Keine

Ist Datenschutz nur überflüssige Regulatorik?

Kommentar
DSGVO
21. April 2026
DP+
Die DSGVO fordert, Betroffene in allgemein verständlicher Sprache über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Die entsprechenden Informationen müssen zudem leicht zugänglich sein.
Bild: iStock.com/tadamichi

Die gesetzlichen Anforderungen der Transparenz

Hintergrund
DSGVO
23. März 2026
DP+
Die neue Verfahrensverordnung zur DSGVO regelt die Abläufe bei der internationalen Zusammenarbeit der Behörden. Dafür nennt der Gesetzgeber klare Fristen – verbindlich einzuhalten sind diese jedoch nicht.
Bild: iStock.com/mixmagic

Verfahrensverordnung (EU) 2025/2518 zur DSGVO

Hintergrund
DSGVO
19. März 2026
DP+
Die Datenverarbeitungen im Zusammenhang mit einem Kundenkonto im Webshop können umfangreich ausfallen
Bild: iStock.com/Liudmila Chernetska

Kundenkonten in Webshops

News
DSGVO
18. März 2026
DP+
Verantwortliche sollten das berechtigte Interesse als Verarbeitungsgrund nicht nur auf dem Papier nachweisen können, sondern mit organisatorischen und technischen Maßnahmen in die Tat umsetzen
Bild: iStock.com/BlackJack3D

Berechtige Interessen: aktuelle Praxisfragen

Praxisbericht
DSGVO EuGH
weitere Beiträge laden
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.