Was ist die Dsgvo in Kurzform?

Die DSGVO (Datenschutz-Grundverordnung, EU-Verordnung 2016/679) regelt, wie personenbezogene Daten verarbeitet werden dürfen. Sie gilt seit dem 25. Mai 2018 in der EU und verpflichtet Verantwortliche und Auftragsverarbeiter zu Transparenz, Zweckbindung, Datenminimierung und dokumentierten Maßnahmen. Im HR betrifft das Bewerber-, Beschäftigten- und Stammdaten ebenso wie Zeiten aus der Zeiterfassung.

Was ist ein Auftragsverarbeitungsvertrag (AV-Vertrag)?

Beauftragst du einen Auftragsverarbeiter - z. B. Cloud-Hosting oder HR-Software - verlangt Art. 28 DSGVO einen AV-Vertrag mit Weisungen, Unterauftragsverarbeiter, TOMs und Regeln zu Hilfsmitteln. Er schafft Klarheit, wer für welche Verarbeitungshaftung einsteht, und ist die Basis für Prüfungen und Incident-Management. Ohne AV bleibt die rechtliche Zuordnung oft unklar.

Was sind technisch-organisatorische Maßnahmen (TOMs)?

TOMs sind Maßnahmen zum Schutz personenbezogener Daten - etwa Zugriffsrechte, Verschlüsselung, Protokollierung, Backups, Schulungen und physische Zutrittskontrolle. Art. 32 DSGVO verlangt ein dem Risiko angemessenes Sicherheitsniveau. Für HR bedeutet das: Rollen in der Personalakte und in der Zeiterfassung müssen zur Sensibilität der Daten passen - nicht nur "alle Admin".

Was ist der Unterschied zwischen Dsgvo und BDSG?

Die DSGVO ist EU-Recht und setzt einheitliche Grundregeln. In Deutschland ergänzt das Bundesdatenschutzgesetz (BDSG) und weitere Gesetze die Umsetzung - etwa zu Beschäftigtenkontexten. Praktisch liest du die DSGVO für Prinzipien und allgemeine Pflichten; im BDSG finden sich oft spezifischere Vorgaben. Beides gilt nebeneinander; im Zweifel sind Fachstelle oder Rechtsberatung sinnvoll.

Was ist der Unterschied zwischen Dsgvo und GoBD/Revisionssicherheit?

Die DSGVO klärt, ob und wie personenbezogene Daten rechtmäßig verarbeitet werden (Zwecke, Rechte, TOMs). GoBD und Revisionssicherheit betreffen vor allem Nachweisbarkeit und Integrität von Aufzeichnungen in steuerlich/prüfungsnahen Kontexten. Dieselben Systeme können beides auslösen - die Fragestellungen sind aber verschieden; deshalb lohnt die saubere Trennung in Organisation und Dokumentation.

Was tun bei einer Datenpanne mit HR-Daten?

Zuerst intern klassifizieren: Welche Daten, welche Betroffenen, welches Risiko? Art. 33-34 DSGVO sehen bei bestimmten Vorfällen Fristen für Meldungen an Aufsichtsbehörden und ggf. Information der Betroffenen vor. HR sollte Ansprechpartner (IT-Security, Legal) und ein Incident-Playbook kennen - etwa bei verlorenem Gerät mit Bewerberlisten. Dokumentation der Maßnahmen ist Teil der Rechenschaftspflicht.

Was muss ich bei Zeiterfassung und Dsgvo beachten?

Stempelzeiten sind personenbezogene Daten: Transparenz (was wird erfasst, wie lange, wer sieht es?), Zweckbindung und Minimierung sind zentral. Technisch helfen rollenbasierte Zugriffe und nachvollziehbare Korrekturen - inhaltlich müssen Hinweise und ggf. Betriebsvereinbarungen zu eurem Setup passen. So verknüpfst du Arbeitszeiterfassung und Datenschutz ohne widersprüchliche Schattenprozesse.

Wann ist eine Datenschutz-Folgenabschätzung (DSFA) nötig?

Eine DSFA kann bei hohem Risiko erforderlich sein - etwa bei umfangreicher Verarbeitung besonderer Kategorien, großflächiger Überwachung oder bestimmten automatisierten Entscheidungen. Für HR-Projekte (neue KI-Tools, umfassende Auswertungen) lohnt die frühe Prüfung mit Datenschutz und ggf. Fachrecht. Sie ersetzt keine Einzelfallbewertung, strukturiert aber Risiken und Gegenmaßnahmen.

Welche Daten im Unternehmen sind „personenbezogen“?

Personenbezogene Daten sind alle Informationen zu einer identifizierten oder identifizierbaren Person - z. B. Name, Personalnummer, Stempelzeiten, Bewerbungsunterlagen, Bankdaten oder IP-Adressen, wenn sie zuordenbar sind. Im HR fallen darunter typischerweise Stammdaten, Vertrags- und Abwesenheitsdaten sowie Exporte in die Lohnabrechnung. Besondere Kategorien (z. B. Gesundheitsdaten) unterliegen engeren Regeln.

Welche Rechte haben Betroffene gegenüber dem Arbeitgeber?

Betroffene haben u. a. Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und unter Bedingungen Datenportabilität. Für HR brauchst du Zuständigkeiten, interne Fristen und oft ein kleines Anfrageverfahren, damit Antworten vollständig und nachvollziehbar sind. Gesetzliche Aufbewahrung kann Löschungen in Einzelfällen aussetzen - dann mit dokumentierter Rechtfertigung.

Braucht jede Verarbeitung eine Einwilligung der Beschäftigten?

Nein. Die DSGVO kennt mehrere Rechtsgrundlagen nach Art. 6 Abs. 1 - etwa Vertrag, rechtliche Pflicht oder berechtigtes Interesse nach Abwägung. Einwilligungen sind im Arbeitsverhältnis oft kritisch, weil Abhängigkeiten die Freiwilligkeit erschweren. Viele Betriebe stützen sich deshalb auf andere Grundlagen, wo zulässig, und dokumentieren die jeweilige Rechtfertigung - statt pauschaler "Checkbox-Einwilligungen".

Gilt die Dsgvo auch für kleine Betriebe?

Ja, der Anwendungsbereich richtet sich nach der Verarbeitung personenbezogener Daten, nicht nach Mitarbeiterzahl. Kleinbetriebe haben oft weniger formale Strukturen, müssen aber trotzdem Zwecke, Hinweise und Sicherheit adressieren - etwa wenn Zeiten, Bewerbungen oder Krankmeldungen digital anfallen. Ein fehlender Datenschutzbeauftragter entbindet nicht von der Einhaltung der Vorschriften.

DSGVO im Betrieb: Datenschutz-Grundverordnung & HR

Ob Bewerbungsdaten, Stempelzeiten oder Krankmeldungen in der Personalakte: Sobald du im Unternehmen personenbezogene Daten verarbeitest, stößt du auf die DSGVO – die Datenschutz-Grundverordnung der Europäischen Union. Für HR, Geschäftsführung und IT heißt das: Du brauchst eine saubere Einordnung, welche Pflichten den Arbeitgeber treffen, welche Rechte Beschäftigte haben und wie das mit Compliance und eurer Zeiterfassung zusammenspielt. Dieser Lexikon-Beitrag fokussiert den HR- und Betriebsalltag – er ersetzt keine Rechtsberatung, gibt dir aber eine belastbare Orientierung für Prozesse, Dokumentation und Softwareentscheidungen.

Du erfährst, was die DSGVO ist, wie das Bundesdatenschutzgesetz (BDSG) ergänzt, welche Grundsätze und Rechtsgrundlagen du kennen solltest und wie Betroffenenrechte, Auftragsverarbeitung und technisch-organisatorische Maßnahmen in der Praxis wirken. Wir grenzen das Thema bewusst von GoBD und Revisionssicherheit ab – weil es um andere Fragestellungen geht, auch wenn oft dieselben Systeme betroffen sind.

Wenn du bereits den Überblick Compliance im Unternehmen kennst, ist die DSGVO das Datenschutz-Kapitel darin – mit direkter Verbindung zu Dienstplan und Zeiterfassung, weil Schicht- und Anwesenheitsdaten personenbezogene Daten sind. Die Download-Materialien zur Zeiterfassung helfen dir, Begriffe in Richtlinien und Systeme zu übersetzen – ohne dass du die DSGVO mit internen IT-Richtlinien verwechselst.

Die DSGVO betrifft auch kleine Teams: Schon wenn du in einer Filiale fünf Mitarbeitende per WhatsApp über Schichtwechsel informierst, können personenbezogene Daten in privaten Kanälen landen – mit Risiken für Vertraulichkeit und Zweckbindung. Deshalb setzen viele Betriebe auf gebündelte Kommunikation in den Systemen, die ohnehin für Planung und Zeiterfassung genutzt werden – statt paralleler Chat-Ketten ohne Dokumentation.

Was ist die DSGVO? Definition und Geltung

Die DSGVO (Datenschutz-Grundverordnung) ist die Verordnung (EU) 2016/679. Sie gilt in allen Mitgliedstaaten der EU unmittelbar und schafft ein einheitliches Schutzniveau für personenbezogene Daten. Seit dem 25. Mai 2018 ist sie der zentrale Maßstab, wenn du Daten von natürlichen Personen verarbeitest – also etwa von Bewerberinnen, Beschäftigten oder ehemaligen Mitarbeitenden.

Kurzdefinition: Die DSGVO regelt, wie personenbezogene Daten rechtmäßig verarbeitet werden dürfen – mit klaren Pflichten für Verantwortliche und Auftragsverarbeiter sowie Rechten für Betroffene.

Im HR-Kontext bedeutet das: Sobald du Namen, Kontaktdaten, Bankverbindungen, Zeiterfassungsstempel, Bewerbungsunterlagen oder Gesundheitsdaten verarbeitest, fällt das in den Anwendungsbereich – sofern keine sehr engen Ausnahmen greifen (die im Einzelfall mit Fachrecht zu prüfen sind). Die DSGVO ersetzt nicht das Arbeitsrecht, steht aber nebendran: Viele arbeitsvertragliche Pflichten setzen Datenverarbeitung voraus – und diese muss datenschutzkonform erfolgen.

Wer international Personal führt, merkt schnell: GDPR und DSGVO meinen inhaltlich dieselbe Verordnung – in der EU-englischen Sprache ist „GDPR“ üblich, in Deutschland spricht man oft von DSGVO. Für deine internen Dokumente und Schulungen solltest du die Begriffe konsistent halten, damit nicht halb das englische und halb das deutsche Kürzel verwendet wird.

Die Aufsichtsbehörden in den Bundesländern prüfen Verstöße – von fehlenden Informationen bis zu unsicheren Übermittlungen. Für Unternehmen bedeutet das: Nachweisbare Organisation schlägt „wir meinten es gut“.

Bußgelder werden im Einzelfall bemessen und hängen von der Schwere, der Dauer und der Kooperationsbereitschaft ab; seriöse Ratgeber nennen deshalb keine Pauschalbeträge ohne aktuelle Veröffentlichung der Behörde. Entscheidend für dich im HR ist die Vorbeugung: klare Verantwortlichkeiten, dokumentierte Prozesse und regelmäßige Aktualisierung der Hinweise, wenn sich Systeme oder Rechtslage ändern.

Ein zentrales Merkmal der DSGVO ist die Rechtsvereinheitlichung in der EU: Unternehmen mit Standorten in mehreren Mitgliedstaaten orientieren sich an denselben Grundregeln – was internationale HR-Prozesse erleichtert, aber auch bedeutet, dass Übermittlungen in Drittländer (etwa US-Clouds oder Nearshore-Dienstleister) besonders sorgfältig zu bewerten sind. Für den Alltag im Mittelstand heißt das vor allem: Verträge, Technik und Schulung müssen zusammenpassen, damit keine „grauen Zonen“ entstehen, in denen Daten informell weitergegeben werden.

Wenn du bereits Bewerbungsprozesse optimierst oder Bewerbermanagement-Tools evaluierst, ist die DSGVO die rechtliche Rahmenbedingung für die Speicherung von Daten – nicht „alles speichern, weil Speicher billig ist“. Eine saubere Trennung zwischen aktiven Talent-Pools und abgelehnten Bewerbern reduziert Risiken und erleichtert spätere Löschungen.

DSGVO und BDSG: Zusammenspiel im deutschen Recht

Die DSGVO ist EU-Recht. In Deutschland ergänzt das Bundesdatenschutzgesetz (BDSG) und andere Gesetze die Umsetzung – etwa zu spezifischen Beschäftigten-Daten oder betrieblichen Kontexten. Praktisch liest du die DSGVO für die Grundprinzipien und allgemeinen Regeln; im BDSG findest du oft spezifischere Vorgaben für den Arbeitsbereich, etwa rund um die Verarbeitung im Beschäftigungsverhältnis (siehe die relevanten Abschnitte im BDSG – im Zweifel mit Datenschutz-Fachstelle oder Rechtsberatung klären).

Für den Beschäftigten-Datenschutz in Deutschland sind u. a. §§ 26 ff. BDSG relevant: Sie konkretisieren, unter welchen Voraussetzungen du Beschäftigtendaten verarbeiten darfst – ergänzend zu Art. 6 und 9 DSGVO, nicht als Ersatz. Welche Regel im Einzelfall vorgeht und wie sie mit Betriebsvereinbarungen zusammenspielt, klärst du bei Bedarf mit Fachrecht; für HR reicht die Einordnung: DSGVO + BDSG + Arbeitsrecht gehören in dieselbe Governance, nicht in getrennte Schubladen.

Wichtig für die Einordnung: Arbeitsvertragliche und betriebliche Regeln (z. B. eine Betriebsvereinbarung zur Zeiterfassung) können die konkrete Umsetzung steuern – sie ersetzen aber nicht die datenschutzrechtlichen Pflichten aus DSGVO/BDSG. Wo Mitbestimmung greift, sollten Datenschutz und Personal gemeinsam an einem Strang ziehen.

In Konzerngemeinschaften oder bei gemeinsamer Verantwortlichkeit (Art. 26 DSGVO) werden oft Transparenzvereinbarungen zwischen Unternehmensteilen nötig – etwa wenn HR-Daten zwischen Holding und Tochter fließen. Auch hier gilt: Zweckbindung und Informationspflicht gegenüber den Betroffenen – nicht „Daten sind intern, also darf jeder alles sehen“.

In Kleinbetrieben fehlt oft ein eigener Datenschutzbeauftragter – das entbindet nicht von der Einhaltung der Vorschriften, sondern ändert nur die organisatorische Zuordnung (Verantwortung liegt bei der Geschäftsführung oder einer beauftragten Person). In größeren Organisationen sind Verzeichnisse von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen bei bestimmten Risiken und Schulungen üblich – auch wenn nicht jede Maßnahme für jeden Betrieb gleich schwer wiegt.

Die Benennung eines Datenschutzbeauftragten ist unter bestimmten Voraussetzungen Pflicht – etwa bei großer Mitarbeiterzahl oder umfangreicher Verarbeitung. Der Beauftragte berät, überwacht und wirkt als Ansprechpartner – ersetzt aber nicht die Verantwortung der Geschäftsführung. In der Praxis kooperiert er eng mit HR, IT und Legal. Wenn du keinen Pflicht-DSB hast, kannst du trotzdem externe Beratung einkaufen – die Kosten sind oft günstiger als Nacharbeit nach einer Beschwerde.

Personenbezogene Daten und Beschäftigtenbezug im HR

Definition und typische HR-Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen – vom Namen über die Personalnummer bis zu IP-Adressen oder Standortdaten, wenn sie zuordenbar sind. Im HR sind typischerweise betroffen: Stammdaten, Vertragsdaten, Lohnabrechnung-bezogene Angaben, Dokumente in der Personalakte, Daten aus der Stempeluhr oder dem Zeiterfassungssystem, Bewerbungsunterlagen und ggf. besondere Kategorien nach Art. 9 DSGVO (z. B. Gesundheitsdaten).

Begriff	Kurzbedeutung	HR-Beispiel
Verantwortlicher	Entscheidet über Zweck und Mittel der Verarbeitung	Oft der Arbeitgeber als Unternehmen
Auftragsverarbeiter	Verarbeitet im Auftrag des Verantwortlichen	Cloud-Anbieter für Zeiterfassung oder HR-Software
Betroffene Person	Natürliche Person, deren Daten betroffen sind	Beschäftigte, Bewerberin
Verarbeitung	Weit gefasst: erheben, speichern, übermitteln, löschen …	Export der Zeiten in die Payroll

Besondere Kategorien nach Art. 9 DSGVO dürfen nur unter engeren Voraussetzungen verarbeitet werden – im Betrieb kommen sie etwa bei Gesundheitsdaten oder Schwerbehindertenvertretung vor. Hier ist besondere Vorsicht geboten; eine pauschale „Sammel-Einwilligung“ ist oft rechtlich fragil – hole dir bei Bedarf fachliche Unterstützung ein.

Informationspflichten nach Art. 13 und 14 DSGVO verlangen, dass Betroffene über Wer, was, warum und wie lange informiert werden – in Bewerbungsprozessen, bei Einführung neuer Tools und bei Änderungen der Verarbeitung. Praktisch bedeutet das: Hinweise auf der Website, in der Bewerbungsmaske, im Arbeitsvertrag oder in der Personalsoftware, die Beschäftigte vor der ersten Nutzung erreichen. Wenn du Betriebsrat und Personalabteilung einbindest, vermeidest du spätere Missverständnisse.

Pseudonymisierung und Anonymisierung helfen, Risiken zu reduzieren: Je weniger direkte Identifizierbarkeit für einen Zweck nötig ist, desto besser. In der Auswertung von Engagement-Umfragen oder bei Testläufen mit KI-Tools sind solche Techniken oft der erste Hebel – bevor überhaupt Vollprofile gespeichert werden.

Empfänger und Drittlandübermittlung musst du in den Informationspflichten benennen, soweit sie für die Betroffenen relevant sind – etwa wenn Lohnabrechnung extern läuft oder ein Hosting-Partner in einem anderen Land sitzt. Die interne Transparenz (wer hat Zugriff) ist ebenso wichtig wie die externe: Wenn du Payroll oder Steuerberatung einschaltest, dokumentiere die kategorisierten Datenflüsse und die Schnittstellen zwischen Systemen – bei groben Netto-Plausibilitätsfragen kann ein Brutto-Netto-Rechner helfen, ersetzt aber keine steuerliche Beratung.

Ein oft unterschätzter Bereich ist die Kommunikation: E-Mails, Chats in Teams oder Slack und Tickets in Helpdesk-Systemen können ebenfalls personenbezogene Inhalte enthalten – etwa Krankmeldungen, private Adressen oder sensibles Feedback. Definiere deshalb nicht nur „offizielle“ HR-Systeme, sondern auch Regeln für den Umgang mit informellen Kanälen: wer löscht, was wird archiviert, wo enden Kopien? Sonst entstehen Datenhaltungen, die weder im Verzeichnis der Verarbeitungstätigkeiten noch in den Schulungen vorkommen.

Rechtsgrundlagen der Verarbeitung (Überblick)

Jede Verarbeitung braucht eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Für HR sind typischerweise vor allem diese Tatbestände relevant (Auswahl, nicht Vollständigkeit für jeden Einzelfall):

Einwilligung (lit. a) – nur wenn sie wirksam freiwillig und dokumentiert ist; im Arbeitsverhältnis oft kritisch.
Vertrag oder vorvertragliche Maßnahmen (lit. b) – z. B. Stammdaten, Zeiterfassung zur Lohnvorbereitung, Bewerbungsbearbeitung.
Rechtliche Verpflichtung (lit. c) – z. B. Steuern, Sozialversicherung, Nachweispflichten aus dem Arbeitszeiterfassungsgesetz.
Lebenswichtige Interessen (lit. d) – eher selten im Routine-HR.
Öffentliche Aufgabe (lit. e) – vor allem im öffentlichen Dienst relevant.
Berechtigtes Interesse (lit. f) – nur mit dokumentierter Interessenabwägung, z. B. IT-Sicherheit, Missbrauchsprävention – nicht als Allzweck.

Art. 9 DSGVO betrifft besondere Kategorien personenbezogener Daten. Für HR heißt das: Gesundheitsdaten oder andere sensible Daten nur, wenn eine der dort genannten Voraussetzungen erfüllt ist – und zusätzlich oft Schutzkonzepte wie Zugriffsbeschränkung und Zweckbindung. Eine „kurze“ Einordnung ersetzt keine Einzelfallprüfung, hilft dir aber bei der Priorisierung: Wenn du unsicher bist, vorab klären statt später dokumentieren zu müssen, warum Daten doch in einer Excel-Liste landeten.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) wird im Betrieb oft für IT-Sicherheit, Missbrauchsprävention oder Videoanlagen am Eingang diskutiert. Die Interessenabwägung muss dokumentiert werden – wer welche Interessen hat und warum die Verarbeitung erforderlich und verhältnismäßig ist. Für HR heißt das: Keine pauschale „wir haben ein berechtigtes Interesse an allem“, sondern eine nachvollziehbare Rechtfertigung pro Maßnahme.

Einwilligungen (Art. 6 Abs. 1 lit. a) sind im Arbeitsverhältnis tricky: Zwischen hierarchischer Abhängigkeit und freier Entscheidung besteht Spannung. Viele Betriebe stützen sich deshalb auf alternative Rechtsgrundlagen wie Vertrag oder berechtigtes Interesse, wo das rechtlich zulässig ist – und reservieren Einwilligungen für Fälle, in denen sie wirklich freiwillig und dokumentiert sind. Das ist keine vollständige Liste der Fallgestaltungen, aber ein Warnsignal, „Einwilligung“ nicht als Allzweckwerkzeug zu missbrauchen.

In Kollektivvereinbarungen und Tarifverträgen können Datenverarbeitungen vorgegeben sein – etwa zu Lohngruppen oder Schichtmodellen. Hier muss die Datenverarbeitung im Einklang mit diesen Regeln stehen; die DSGVO ist nicht „außer Kraft“, aber die konkrete Ausgestaltung kann überarbeiten, was zusätzlich erlaubt oder eingeschränkt ist.

Schutz von Betroffenen (Art. 5 Abs. 1 lit. f) verlangt angemessene Sicherheit – inklusive Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust. Das ist der Brückenpfeiler zwischen rechtlichen Grundsätzen und technischen Maßnahmen: Ohne organisatorische Regeln (z. B. wer darf Krankmeldungen sehen?) nützt die beste Software wenig.

Die sieben Grundsätze der DSGVO – kurz erklärt

Die DSGVO nennt Grundsätze für die Verarbeitung (vgl. Art. 5 DSGVO). In der Praxis sind sie der Kompass für Richtlinien, Systeme und Schulungen:

Die sieben Punkte aus Art. 5 DSGVO

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz: Du brauchst eine Rechtsgrundlage und kommunizierst klar, was passiert – z. B. in Hinweisen und Betriebsvereinbarungen. HR-Beispiel: Datenschutzhinweise bei Einstellung und bei neuen Tools, nicht nur „einmal im Intranet von 2019“.
Zweckbindung: Du verarbeitest Daten nur für festgelegte, eindeutige Zwecke – kein „später vielleicht noch Marketing“ ohne neue Grundlage. HR-Beispiel: Bewerberdaten nicht für Newsletter oder Kundenakquise, ohne dass dafür eine eigene Rechtsgrundlage und Transparenz bestehen.
Datenminimierung: Nur so viele Daten wie nötig – etwa keine unnötigen Gesundheitsangaben in der Freitextnotiz. HR-Beispiel: in der Personalakte nur Felder, die für Nachweis oder Entgelt wirklich gebraucht werden.
Richtigkeit: Stammdaten pflegen, Korrekturen ermöglichen – wichtig für Lohn und Zeit. HR-Beispiel: saubere Prozesse bei Stempelkorrekturen und Bankverbindungsänderungen.
Speicherbegrenzung: Löschkonzepte und Aufbewahrungsfristen – Bewerbungen und Personalakten sind hier oft Thema. HR-Beispiel: getrennte Ablage für abgelehnte Bewerbungen mit definiertem Löschdatum.
Integrität und Vertraulichkeit: TOMs, Zugriffsrechte, Verschlüsselung wo sinnvoll – technisch und organisatorisch. HR-Beispiel: Rollen in HR-Software so, dass nur berechtigte Personen sensible Felder sehen.
Rechenschaftspflicht: Du kannst nachweisen, dass du die Vorgaben ernst nimmst – Verzeichnisse, Verträge, Schulungen, Risikoanalysen je nach Kontext. HR-Beispiel: nachvollziehbare Liste der HR-Systeme inkl. AV-Verträge.

Diese Grundsätze stehen nicht isoliert: Sie hängen mit euren Prozessen zusammen – etwa ob Korrekturen an Stempelzeiten revisionssicher dokumentiert werden oder ob jede Abteilung eigene Schatten-Excel-Listen pflegt.

Wenn du Marketing oder deine Arbeitgebermarke mit Mitarbeiterfotos verbinden willst, ist Zweckbindung und Transparenz zentral: Einmal für die Lohnabrechnung erhobene Daten nicht einfach für Social Media weiterverwenden – ohne neue Grundlage und klare Hinweise. Ähnlich verhält es sich mit Weiterbildungsdaten oder Leistungsbeurteilungen: Jede Nutzerklärung muss zum Verarbeitungszweck passen.

Accountability (Rechenschaftspflicht) bedeutet im Alltag: Wenn eine Behörde oder eine betroffene Person fragt, musst du erklären können, welche Systeme beteiligt sind, welche Schnittstellen existieren und welche Verantwortlichen genannt sind. Deshalb lohnt sich ein internes Verzeichnis der HR-relevanten Tools – von der Zeiterfassung bis zum Bewerbermanagement – inklusive Link zu den jeweiligen AV-Verträgen.

Das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) ist für viele Arbeitgeber verpflichtend – es beschreibt Zwecke, Kategorien, Empfänger und Löschfristen. Es ist kein „Schmuckpapier“, sondern die Landkarte für interne Audits und für die Zusammenarbeit mit einem externen Datenschutzbeauftragten. Je konsistenter HR und IT hier mitarbeiten, desto leichter werden Übergänge bei Systemwechseln oder bei Fusionen.

Betroffenenrechte: Was HR und Beschäftigte wissen müssen

Auskunft, Berichtigung, Löschung & Co.

Betroffene haben umfassende Rechte, u. A. auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und – wo technisch möglich – Datenportabilität. Für HR bedeutet das: Ihr braucht klare Zuständigkeiten, Fristen intern und oft ein kleines Ticket- oder Anfrageprozess, damit Anfragen nicht zwischen Abteilungen verschwinden.

Nach Art. 12 Abs. 3 DSGVO musst du Auskunftsersuchen in der Regel unverzüglich beantworten – spätestens innerhalb von einem Monat (mit engen Ausnahmen und Verlängerungsmöglichkeiten im Gesetzestext). Im HR lohnt sich deshalb ein internes Ziel kürzer als die äußere Frist: So bleibt Puffer für Abstimmung mit IT und Archiv.

Die Fristen für Antworten auf Auskunftsersuchen sind in der Praxis ein Qualitätsmerkmal: Wer erst nach Wochen reagiert, erzeugt Misstrauen – und bei wiederholten Verzögerungen drohen Beschwerden bei der Aufsichtsbehörde. Ein kleines Formular für interne Auskunftsanfragen (welche Systeme, welcher Zeitraum, welche Kategorien) beschleunigt die Zusammenarbeit zwischen HR, IT und ggf. externen Anwendern.

Praktisch kollidieren diese Rechte manchmal mit gesetzlichen Aufbewahrungspflichten oder betrieblichen Pflichten – etwa wenn eine Löschung wegen laufender Verfahren noch nicht möglich ist. Solche Fälle sind kein „Nein aus Prinzip“, sondern brauchen saubere Dokumentation der Gründe und ggf. fachliche Klärung. In der digitalen Personalakte hilft eine durchdachte Ablage- und Berechtigungsstruktur, damit Auskünfte vollständig und ohne Datenlecks erfolgen.

Bei Datenportabilität geht es – vereinfacht – um Daten in einem strukturierten, maschinenlesbaren Format, wo technisch möglich. Für HR heißt das: Exporte aus dem HR-System oder Zeiterfassung sollten nachvollziehbar sein und nicht aus mehreren Excel-Halbstufen bestehen. Wenn du einen Zuschlagsrechner nutzt, bleiben die Daten dort üblicherweise anonymisiert – für personenbezogene Auswertungen bleibt das HR-System die führende Quelle.

Widerspruchsrecht und Profiling (Art. 21–22) werden relevant, sobald automatisierte Entscheidungen oder umfangreiche Auswertungen im Spiel sind – etwa bei Bewertungstools oder KI-gestützten Screening-Prozessen. Transparenz über die Logik und menschliche Nachprüfung sind hier oft gefragt; Details hängen vom konkreten Tool ab.

Wenn Beschäftigte Auskunft verlangen, sollten Antworten vollständig sein – inklusive der Kategorien von Daten, Empfängern und Speicherdauer, soweit bekannt. Unvollständige oder stark geschwärzte Antworten provozieren Beschwerden bei Aufsichtsbehörden. Ein internes Playbook („Wer sammelt welche Daten aus welchem System?“) spart Zeit und Nerven.

TOMs, Auftragsverarbeitung und AV-Vertrag

Technisch-organisatorische Maßnahmen (TOMs) sind das Fundament für Integrität und Vertraulichkeit: Rollenkonzepte, Verschlüsselung, Protokollierung, Backup, Schulungen, Zutrittskontrolle. Je sensibler die Daten, desto strenger sollten Maßnahmen sein – und desto wichtiger ist es, dass sie lebendig bleiben (nicht nur einmal im Handbuch abgehakt).

In der Gastronomie, im Einzelhandel und im Gesundheitswesen (z. B. Pflege) – also überall mit hoher Fluktuation und vielen Schichtwechseln – entstehen oft Sonderfälle: Aushilfen, kurzfristige Überstunden, Tausch von Schichten. Jede dieser Konstellationen erzeugt personenbezogene Daten in der Zeiterfassung. Ordne deshalb klar, welche Rollen Korrekturen vornehmen dürfen und wie Nachweise für die Abrechnung aussehen – das ist gleichzeitig Datenschutz und betriebliche Ordnung.

Wenn du Auftragsverarbeiter einschaltest – etwa einen Anbieter für Zeiterfassungssysteme oder Hosting – verlangt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit klaren Weisungen. Prüfe Unterauftragsverarbeiter, Drittlandtransfers und technische Details in den Anlagen – und ob das System euren Anforderungen an Nachvollziehbarkeit genügt, etwa wenn Prüferinnen später Exporte erwarten. Stelle im Onboarding-Call explizit die Frage: Wer darf Unterauftragsverarbeiter einsetzen, und wie werden Weisungen und Löschung an die Kette weitergegeben?

Art. 25 DSGVO (Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen) und Art. 32 DSGVO gehören zusammen: Du solltest Risiken beim Design der Verarbeitung mindern – etwa durch Zugriffskonzepte, Verschlüsselung und Standardeinstellungen, die nicht „alles öffentlich“ sind. Für dich als Einkäuferin HR-Software heißt das: Frage nach Rollenmodellen, Protokollierung, Backup und Incident-Management – nicht nur nach dem Preis pro Nutzer. Die Dokumentation dieser Maßnahmen hilft bei Betriebsprüfungen und internen Audits.

Drittlandübermittlungen (z. B. US-Cloud) erfordern zusätzliche Absicherung – Standardvertragsklauseln, Angemessenheitsbeschlüsse oder – wo zulässig – ausdrückliche Einwillungen. Stand 2026 ist das Thema dynamisch; halte die rechtliche Aktualität mit eurer Datenschutzverantwortung oder externer Beratung ab.

Meldepflicht bei Datenpannen (Art. 33–34): Wenn ein Vorfall Risiken für Betroffene birgt, können Fristen für Meldungen an Aufsichtsbehörden und – in schweren Fällen – Informationspflichten gegenüber Betroffenen laufen. HR sollte wissen, wen intern alarmiert wird (IT-Security, Legal) und wie Incident-Management mit HR-Daten funktioniert – etwa bei verlorenem Laptop mit Bewerberlisten.

Datenschutz-Folgenabschätzung (DSFA) kann bei hochriskanten Verarbeitungen erforderlich sein – etwa bei umfangreicher Systematisierung sensibler Daten oder bei neuer Überwachungstechnik. Wenn ihr Technologie einführt, die neue Risiken schafft, frühzeitig prüfen, ob eine DSFA nötig ist – nicht erst nach Go-Live.

Praktisch hilft eine Checkliste vor Go-Live: Welche Daten fließen neu ein? Welche Profile sehen welche Felder? Gibt es Schnittstellen zu Payroll oder Zeiterfassung? Wer ist Ansprechpartner bei einem Vorfall? Wenn du diese Punkte schriftlich festhältst, erleichtert das nicht nur die DSFA, sondern auch die spätere Schulung der Führungskräfte – denn die tragen oft die Verantwortung für die erste Datenerhebung im Team.

DSGVO im HR-Alltag: Zeiterfassung, Personalakte und Bewerbung

Im Alltag zeigt sich die DSGVO dort, wo Daten fließen: In der elektronischen Zeiterfassung sind Start-, Ende- und Pausenzeiten personenbezogene Daten – oft sogar besonders schützenswert, wenn sie Rückschlüsse auf Gesundheit oder Religion zulassen (z. B. fehlende Zeiten an Feiertagen). Stelle sicher, dass Transparenz herrscht: Beschäftigte wissen, was erfasst wird, wie lange Daten gespeichert werden und wer Zugriff hat. Die Verknüpfung mit digitaler Zeiterfassung und klaren Rollen unterstützt sowohl ArbZG-Pflichten als auch Datenschutz.

Die Personalakte bündelt Nachweise – von Einstellung bis Kündigung. Hier treffen Aufbewahrung und Zweckbindung aufeinander: Was gehört wirklich in die Akte? Wer darf was sehen? Wie wird gelöscht oder anonymisiert, wenn Fristen ablaufen? Eine strukturierte dokumentierte Aktenführung reduziert Risiken bei Auskunftsersuchen und internen Prüfungen.

Bei Bewerbungen sind Daten oft umfangreich – Lebensläufe, Zeugnisse, ggf. sensible Angaben. Regle Speicherfristen, Löschung nach Absage und getrennte Ablage von aktiven und abgelehnten Bewerberdaten. Dokumentiere im Verzeichnis der Verarbeitungstätigkeiten, welche Bewerber-Systeme ihr nutzt und wie Daten an Dienstleister fließen (z. B. Recruiting-Tools). Wenn du CV Parsing nutzt, achte auf informierte Prozesse und technische Absicherung – automatisierte Entscheidungen können zusätzliche Anforderungen auslösen (Transparenz- und Widerspruchsrechte im Blick behalten).

Überwachung am Arbeitsplatz (Video, WLAN, GPS) ist ein eigenes Spannungsfeld zwischen Betriebsinteressen und Verhältnismäßigkeit. Die DSGVO verlangt hier strenge Prüfung; oft greifen zusätzlich mitbestimmungsrechtliche Vorgaben. Dieser Artikel vertieft das nicht – wichtig ist nur: Nicht „technisch möglich“ gleich „datenschutzrechtlich zulässig“.

Homeoffice und mobiles Arbeiten verschieben Daten an private Endgeräte – was Zugriffskontrolle, VPN und Bring-your-own-Device-Regeln erfordert. Die DSGVO interessiert sich dafür, ob geeignete Garantien existieren und ob Beschäftigte informiert sind, welche Daten auf welchen Geräten verarbeitet werden.

Schicht- und Anwesenheitsdaten aus dem Dienstplan können Rückschlüsse auf Religion oder Familienstand zulassen, wenn Feiertage oder bestimmte Abwesenheitsmuster sichtbar sind. Behandle solche Daten mit Minimierung: nur die Felder, die für Planung und Entgelt wirklich nötig sind – und getrennte Rollen, wer Pläne und wer sensible Stammdaten sieht.

Whistleblowing- und Hinweisgeber-Systeme verarbeiten oft sehr sensible Hinweise. Neben dem Hinweisgeberschutzrecht muss die DSGVO eingehalten werden – etwa bei Speicherfristen, Zugriffsbeschränkung und Zweckbindung. Eine enge Abstimmung zwischen Compliance, Legal und HR ist hier Pflicht.

DSGVO vs. Revisionssicherheit und GoBD – Abgrenzung

Im HR tauchen DSGVO und GoBD / Revisionssicherheit oft in derselben Diskussion auf – weil dieselben Systeme betroffen sind. Inhaltlich lösen sie aber unterschiedliche Problemstellungen:

Thema	DSGVO	GoBD / Revisionssicherheit (Steuer/Prüfung)
Fragestellung	Darf und wie dürfen personenbezogene Daten verarbeitet werden?	Sind Aufzeichnungen vollständig, nachvollziehbar, integritätsgesichert?
Typische Bezüge	Zweckbindung, Betroffenenrechte, TOMs, AV	Exporte in die Lohn-/Finanzbuchhaltung, Prüfpfade, Änderungsnachweise
HR-Praxis	Einwilligungen, Hinweise, Löschkonzepte	Stempelhistorie, dokumentierte Korrekturen, Monatsabschluss

Wer die steuerliche Seite vertiefen will, findet im Lexikon Revisionssicherheit die HR-taugliche Einordnung zu GoBD und Nachvollziehbarkeit – ohne die DSGVO zu duplizieren. Kurz: DSGVO schützt die Person; GoBD/Revision sichert die Prüfbarkeit von Aufzeichnungen – beides muss zusammenpassen, ist aber nicht identisch.

Wenn du Stundennachweise für die Lohnabrechnung aufbereitest (siehe Stundennachweis im Lexikon; zur groben Plausibilität auch den Arbeitszeitrechner), sind zwei Prüfungen nötig: Reicht die Datenbasis für den Steuerberater aus (GoBD/Revisionssicherheit)? Und sind die personenbezogenen Daten verarbeitet worden, ohne dass Zweckbindung oder Betroffenenrechte verletzt wurden (DSGVO)? Beide Prüfungen sind gleich wichtig – aber nicht identisch.

Für die Umsetzung im Mittelstand reicht selten ein einzelnes „DSGVO-Projekt“ – erfolgreiche Betriebe verankern Datenschutz in Onboarding, Line-Manager-Schulungen und jährlichen Checks der Systemlandschaft. Wenn Führungskräfte wissen, welche Daten sie in Bewertungsgesprächen dokumentieren dürfen und welche Felder in HR-Systemen Sonderkategorien auslösen, sinkt das Risiko informeller „Schatten-CRM“-Listen in privaten Notizen.

Internationale Konzerne müssen zusätzlich übertragende und empfangende Stellen in Binding Corporate Rules oder anderen Mechanismen denken – für KMU in Deutschland ist das seltener, wird aber relevant, sobald ein US-Mutterkonzern Gruppenrichtlinien vorgibt. Dann müssen lokale HR-Teams prüfen, ob die Gruppenrichtlinie mit EU- und deutschen Vorgaben vereinbar ist – nicht „Policy aus dem US-HQ“ ungeprüft übernehmen.

Marketing und Recruiting überschneiden sich: Wenn du Bewerberdaten in Newsletters übernimmst oder Remarketing betreibst, brauchst du klare Opt-ins und getrennte Datenflüsse. Die DSGVO ist hier strenger als viele Marketing-Routinen aus dem englischsprachigen Raum – was in den USA üblich ist, ist in der EU oft unzulässig ohne neue Rechtsgrundlage.

Schulungen sind kein Luxus: Sie sind oft der einzige Weg, dass Beschäftigte Phishing, Social Engineering und ungeprüfte Cloud-Uploads vermeiden. Ein einziges kompromittiertes Konto mit HR-Rechten kann mehr Schaden anrichten als ein fehlender Satz im Datenschutzhinweis – deshalb gehören Least-Privilege-Zugriffe und Mehrfaktor-Authentifizierung zu den TOMs, sobald sensible Daten betroffen sind.

Wenn du Personalentwicklung oder Skills-Matrix-Tools einführst, denke an Datenminimierung: Nicht jede Kompetenzbewertung muss dauerhaft personenbezogen gespeichert werden – manchmal reichen aggregierte Team-Profile für die Organisation, während individuelle Bewertungen nur in einem gesicherten HR-System liegen sollten.

Fazit

Die DSGVO ist mehr als ein Compliance-Stichwort: Sie strukturiert, wie du personenbezogene Daten im Betrieb verantwortungsvoll handhabst – von der Information der Beschäftigten über Rechtsgrundlagen und Betroffenenrechte bis zu Verträgen mit Dienstleistern. Wer Prozesse klar dokumentiert, Rollen sauber trennt und Systeme wählt, die Transparenz und Sicherheit unterstützen, reduziert Risiken und schafft Vertrauen – bei Teams und im Prüfungsfall.

Mit Ordio Zeiterfassung, digitaler Personalakte, Dokumentenmanagement, Abwesenheiten, Checklisten, Veranstaltungen & Personal und Payroll kannst du Datenströme zusammenführen, die im Alltag ohnehin zusammengehören: Zeiten erfassen, Dokumente strukturiert ablegen und Lohnrelevante Informationen konsistent halten – immer im Einklang mit eurer datenschutzrechtlichen Ausgangslage. Dieser Text ersetzt keine individuelle Rechtsberatung; bei Grenzfällen lohnt die Abstimmung mit Datenschutz und ggf. externer Fachberatung. Stand der Darstellung: 2026.

Ein letzter Praxis-Tipp: Führe jährlich einen schmalen Review eurer HR-Softwareliste – inklusive Testzugängen, API-Schnittstellen und „Schatten-Tools“, die Abteilungen ohne IT freischalten. Jede neue Integration kann Zwecke und Empfänger ändern; wenn du das proaktiv dokumentierst, bleibt die DSGVO im Unternehmen handhabbar statt zum Dauer-Baustellenprojekt. So vermeidest du Überraschungen bei der nächsten Betriebsprüfung, bei einem Auskunftsersuchen oder wenn sich Personalmanagement oder Fachbereiche wechseln – mit nachvollziehbarer Dokumentation statt mündlicher Übergaben.

Als Nächstes lohnt sich ein Abgleich mit euren internen Verzeichnissen, Schulungsständen und AV-Verträgen – und ein kurzer Check, ob jede neue Software-Integration (z. B. Schichtplan-Tools) in der Dokumentation und in den Hinweisen an Beschäftigte nachvollziehbar ist. So bleibt die DSGVO nicht nur ein Gesetzestext, sondern ein lebendiger Rahmen für verantwortungsvolle Personalarbeit.

Langfristig gewinnen Unternehmen, die Datenschutz als Qualitätsmerkmal begreifen – nicht als bürokratische Hürde. Transparente Prozesse erhöhen die Akzeptanz bei Beschäftigten, reduzieren interne Reibung und erleichtern die Zusammenarbeit mit Externen wie Banken, Versicherungen oder Aufsichtsbehörden, wenn saubere Nachweise gefordert werden.

Wenn du Freelancer, Werkverträge oder Leiharbeit einsetzt, entstehen zusätzliche Schnittstellen: Daten von Einsatzplanung, Zeiten und Abrechnung müssen klar zugeordnet sein – wer ist Verantwortlicher, wer Empfänger, und welche Weisungen gelten gegenüber Dienstleistern? Je klarer die Rollen, desto leichter lassen sich spätere Auskunftsersuchen oder Prüfungen beantworten, ohne dass sensible Listen in mehreren Excel-Versionen kursieren.

Wenn du neue KI-Funktionen in HR einführst – etwa für die Vorselektion von Bewerbungen oder für Chatbots in der Personalabteilung – gelten zusätzliche Anforderungen an Transparenz, menschliche Überprüfung und Dokumentation. Die technische Entwicklung geht schneller als manche Gesetzesänderungen; halte deshalb die EU-Diskussion zu KI und Arbeit im Blick und passe eure Hinweise an, sobald sich regulatorische Rahmen verschärfen.

	A	B
1	Feld	Wert
2	Firmenname	Musterfirma GmbH
3	Straße	Hauptstraße 1
4	Name	Müller

DSGVO im Betrieb: Datenschutz-Grundverordnung & HR

Was ist die DSGVO? Definition und Geltung

DSGVO und BDSG: Zusammenspiel im deutschen Recht