Ein Finger schiebt ein Holzklötzchen mit einem Schloss-Symbol aus einer Reihe nach vorne, die anderen Klötzchen sind mit Personen-Icons bedruckt.

Wer darf in die Personalakte schauen?

28.05.2026

Bei einer VW-Konzerntochter sollen Führungskräfte im großen Kreis über Gesundheitsdaten von Mitarbeitenden gesprochen haben – Daten, auf die sie rechtlich keinen Zugriff hätten haben dürfen. Die Medien berichteten über drohende Verfahren und Entschädigungen. Der Fall macht deutlich, wie relevant eine klare Regelung der Zugriffsrechte auf Personalakten in der Praxis ist. Denn die Frage, wer wann und in welchem Umfang Einblick in die Personalakte nehmen darf, wird in vielen Unternehmen noch immer nicht konsequent umgesetzt.

Rechtsgrundlagen und Grundsätze

Die digitale Personalakte hat die Personalverwaltung erheblich vereinfacht. Dokumente sind sofort abrufbar, Prozesse laufen automatisiert und die abteilungsübergreifende Zusammenarbeit wird erleichtert. Gleichzeitig bringt diese Zugänglichkeit eine datenschutzrechtliche Herausforderung mit sich: Der technisch einfache Zugriff auf Mitarbeitendendaten muss durch entsprechende organisatorische und technische Maßnahmen begrenzt werden.

Personalakten enthalten neben Stammdaten und Gehaltsabrechnungen häufig auch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO – darunter Gesundheitsdaten, Angaben zur Gewerkschaftszugehörigkeit oder zur Religion. Diese Daten unterliegen einem erhöhten Schutzniveau, da ihre missbräuchliche Verwendung konkrete Diskriminierungsrisiken birgt.

Die datenschutzrechtlichen Anforderungen an den Umgang mit Personalakten ergeben sich vor allem aus zwei Grundsätzen des Art. 5 DSGVO:

  • Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Personenbezogene Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden.
  • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Die Datenverarbeitung ist auf das tatsächlich erforderliche Maß zu beschränken.

Diese Grundsätze gelten selbstverständlich auch im Beschäftigungskontext. Das Bundesarbeitsgericht (BAG) hat bereits 1987 (BAG, Urteil vom 15.07.1987, Az. 5 AZR 215/86) festgehalten, dass Personalakten vor unbefugten Zugriffen zu schützen sind, der Kreis der Einsichtsberechtigten eng zu halten ist und auch Vorgesetzte nicht beliebig Einblick nehmen dürfen. Diese Grundsätze gelten für elektronische Systeme in gleicher Weise.

Moderne HR-Systeme bieten die technischen Möglichkeiten, Zugriffsrechte feingranular nach Rolle, Aufgabe und Zeitpunkt zu definieren. Ein strukturiertes Rollen- und Berechtigungskonzept ist dabei eine unerlässliche Maßnahme.

Zugriffsrechte der Personalabteilung: Breiter Zugriff, aber zweckgebunden

Personalverantwortliche benötigen für ihre Kernaufgaben einen umfassenden Zugriff auf Personalakten – das ist grundsätzlich gerechtfertigt. Auch innerhalb der Personalabteilung gilt jedoch das Need-to-know-Prinzip: Ein*e Personalsachbearbeiter*in darf nur auf die Akten der Gesellschaften oder Bereiche zugreifen, die er*sie tatsächlich betreut. Ein pauschaler Vollzugriff aller HR-Mitarbeitenden auf sämtliche Personalakten des Unternehmens ist nicht zulässig.

Zugriffsrechte der Führungskräfte: Zugriff nach konkretem Bedarf

Führungskräfte haben für bestimmte Aufgaben legitime Gründe, auf Daten ihrer Mitarbeitenden zuzugreifen – etwa bei der Vorbereitung von Personalentscheidungen, der Prüfung arbeitsrechtlicher Maßnahmen oder der Klärung organisatorischer Fragen. Ein grundsätzliches Zugriffsrecht kann daher bestehen.

Allerdings rechtfertigt dies keinen dauerhaften Vollzugriff auf die gesamte Personalakte. Welche Daten tatsächlich zugänglich sein dürfen, bestimmt sich nach der konkreten Aufgabe der Führungskraft im jeweiligen Einzelfall. Gesundheitsdaten etwa sind für die meisten Führungsaufgaben nicht erforderlich und müssen entsprechend geschützt werden. Die Personalakte enthält allerdings neben den Gesundheitsdaten, die besonders geschützt sind, auch eine Vielzahl anderer Informationen über die Mitarbeitenden auf welche die Führungskräfte keinen permanenten Zugriff haben dürfen. Das sind z. B. auch weniger sensible Beschäftigtendaten wie Bewerbungsunterlagen, Fort- und Weiterbildungen, Einzelheiten über Lohn und Gehalt (bspw. Pfändungen oder Abtretungen) etc. Diese Daten dürfen vom Arbeitgeber zwar verwaltet und anlassbezogen verarbeitet werden, es darf aber kein direkter Vorgesetzter über alle Details des Arbeitnehmenden Bescheid wissen. Eine pauschale und dauerhafte Freischaltung der vollständigen Personalakte für Führungskräfte lässt sich also datenschutzrechtlich nicht begründen.

Genau das ist bei einem Tochterunternehmen aus dem VW‑Konzern kürzlich bekannt geworden: Dort sollen in großen Runden mit mehreren Führungskräften Krankheiten, Diagnosen und Fehlzeiten von Beschäftigten diskutiert und die betroffenen Personen dabei namentlich benannt worden sein. Der Fall wird derzeit aufgearbeitet. Um derartige Verstöße zu vermeiden, sind klare interne Richtlinien, Sensibilisierung und Schulung von Führungskräften sowie wirksame Kontrollmechanismen unerlässlich.

Konzernstrukturen: Differenzierte Berechtigungen erforderlich

In Konzernen mit zentraler Personalverwaltung und eigenständigen Tochtergesellschaften sind die Zugriffsrechte besonders sorgfältig zu gestalten. Grundsätzlich gilt: Zugriff darf immer nur auf die Daten der eigenen Mitarbeitenden bestehen – und auch nur auf die für die aktuelle Beschäftigung relevanten Informationen. Altdaten aus früheren Beschäftigungsverhältnissen innerhalb des Konzerns dürfen nicht ohne Weiteres abrufbar bleiben. Zentrale HR-Einheiten und dezentrale Vorgesetzte benötigen klar getrennte und differenzierte Berechtigungsprofile.

Fazit und Handlungsempfehlungen

Ein permanenter Vollzugriff auf die Personalakte ist für Führungskräfte weder erforderlich noch datenschutzrechtlich gerechtfertigt. Der VW-Fall verdeutlicht, welche Konsequenzen entstehen können, wenn Zugriffsrechte nicht konsequent geregelt und kontrolliert werden.

Für die Datenschutzpraxis empfiehlt sich folgendes Vorgehen:

  1. Bestandsaufnahme der Zugriffsrechte: Überprüfen Sie, welche Zugriffsrechte in Ihrem HR-System aktuell vergeben sind und ob diese der tatsächlichen Erforderlichkeit entsprechen.
  2. Rollen- und Berechtigungskonzept einführen oder aktualisieren: Definieren Sie für jede Datenkategorie und jede Rolle explizit, wer wann und zu welchem Zweck Zugriff erhält.
  3. Besondere Datenkategorien gesondert absichern: Gesundheitsdaten und vergleichbare Informationen müssen technisch und organisatorisch besonders geschützt sein.
  4. Führungskräfte sensibilisieren: Der Zugriff auf Personalakten setzt einen konkreten dienstlichen Anlass voraus – dies sollte aktiv kommuniziert und dokumentiert werden.

Für einen verantwortungsvollen Umgang mit Beschäftigtendaten sollten die betreffenden Personen regelmäßig geschult werden. Der eLearning-Kurs „Datenschutz für Führungskräfte“ von DSN train deckt alle Fragen zum sicheren Umgang mit den Daten von Mitarbeitenden im Alltag ab. Weitere eLearnings finden Sie auch im Onlineshop von DSN train.

Beschäftigtendatenschutz, Compliance | Arbeitgeber, Arbeitnehmer, Beschäftigtendaten, Compliance, Datenminimierung, DSGVO, Führungskräfte, Gesundheitsdaten, HR, Konzern, Personalakte, Zweckbindung
Beitrag kommentieren

Keine Kommentare

« Vorheriger Beitrag Nächster Beitrag »
Seminarwerbung gegrpüfte:r Datenschutzkoordinator:in