Was gilt als digitale Personalakte? Definition, Inhalte & rechtliche Anforderungen

Viele Unternehmen führen ihre Personalunterlagen längst „digital“ – oft jedoch nur in Form gescannter PDFs in einem Netzlaufwerk oder Cloud-Ordner. Doch das reicht rechtlich nicht aus. Eine digitale Personalakte muss klar definierte gesetzliche Kriterien erfüllen, sonst gilt sie weder steuerrechtlich noch datenschutzrechtlich als ordnungsgemäß. Dieser Beitrag erklärt, was tatsächlich als digitale Personalakte gilt, welche Inhalte hineingehören und welche rechtlichen Anforderungen zu beachten sind.

Auf einen Blick: Wann gilt eine Sammlung als digitale Personalakte?

• Eine digitale Personalakte ist mehr als ein digitalisierter Ordner: Sie erfordert ein strukturiertes Dokumentenmanagementsystem (DMS).
• Vier Kernkriterien müssen erfüllt sein: Revisionssicherheit, DSGVO-Konformität, Strukturierung und Berechtigungskonzept.
• Inhaltlich umfasst sie alle Dokumente mit sachlichem Bezug zum Arbeitsverhältnis – von Vertrag bis Bescheinigung.
• Rechtsgrundlagen: GoBD, DSGVO, BDSG, BetrVG, NachwG sowie ab 2027 BVV/§ 28p SGB IV.
• Privates und sensible Daten ohne Arbeitsbezug dürfen nicht enthalten sein (Datenminimierung).

Definition: Was ist eine digitale Personalakte?

Eine digitale Personalakte (auch elektronische Personalakte) ist die strukturierte, revisionssichere und datenschutzkonforme elektronische Sammlung aller Dokumente, Daten und Informationen, die mit dem Arbeitsverhältnis eines Beschäftigten in einem sachlichen Zusammenhang stehen. Sie ersetzt die klassische Papierakte vollständig – ist jedoch deutlich mehr als ein bloßer digitaler Aktenschrank.

Im Unterschied zu einer einfachen digitalen Ablage erfordert die digitale Personalakte ein professionelles Dokumentenmanagementsystem (DMS) oder eine HR-Software, die Prozesse, Berechtigungen, Versionierung und Aufbewahrungsfristen aktiv steuert. Erst diese funktionalen Eigenschaften machen aus gescannten Dokumenten eine rechtskonforme digitale Personalakte. Mit der ab 01.01.2027 verbindlichen Digitalpflicht für Entgeltunterlagen wird diese Unterscheidung erstmals flächendeckend relevant – mehr dazu im Beitrag Digitale Personalakte ab 2027: Pflicht, Umfang & Folgen für Arbeitgeber.

Wann gilt eine Sammlung als „digitale Personalakte“? Die 4 Kernkriterien

Damit eine elektronische Sammlung von Personalunterlagen rechtlich als digitale Personalakte anerkannt wird, müssen vier Eigenschaften gleichzeitig erfüllt sein:

1. Revisionssicherheit nach GoBD

Dokumente müssen vollständig, unveränderbar, lückenlos nachvollziehbar und ordnungsgemäß indexiert sein. Jede Bearbeitung muss als neue Version mit Zeitstempel und Bearbeiter dokumentiert werden. Eine Word- oder PDF-Datei auf einem Netzlaufwerk, die jederzeit überschrieben oder gelöscht werden kann, erfüllt diese Anforderung nicht.

2. DSGVO-Konformität

Personalakten enthalten besonders sensible Daten im Sinne von Art. 9 DSGVO. Die Speicherung muss verschlüsselt erfolgen, der Zugriff darf nur nach dem Need-to-know-Prinzip gewährt werden. Erforderlich ist ein dokumentiertes Lösch- und Berechtigungskonzept mit nachweisbaren technischen und organisatorischen Maßnahmen (TOMs nach Art. 32 DSGVO).

3. Strukturierung und Auffindbarkeit

Eine echte digitale Personalakte ist nach klaren Kategorien strukturiert (z. B. Stammdaten, Verträge, Lohn, Krankheit, Weiterbildung). Jedes Dokument ist mit Metadaten versehen, sodass es jederzeit gezielt auffindbar ist – etwa für eine Betriebsprüfung oder eine Auskunftsanfrage nach Art. 15 DSGVO.

4. Berechtigungskonzept und Protokollierung

Wer wann welches Dokument geöffnet, geändert oder heruntergeladen hat, muss revisionssicher protokolliert sein. Unterschiedliche Rollen (HR, Führungskraft, Lohnbuchhaltung, Mitarbeitender) benötigen unterschiedliche Zugriffsrechte. Ein einheitlicher Admin-Zugriff auf alle Akten ist nicht zulässig.

Welche Inhalte gehören in die digitale Personalakte?

Der Bundesarbeitsgerichtshof versteht unter einer Personalakte alle Unterlagen, die in einem sachlichen Zusammenhang mit dem Arbeitsverhältnis stehen. Damit gibt es zwar keinen abschließenden Katalog, doch in der Praxis hat sich folgende Struktur etabliert:

Pflichtinhalte (Standard)

• Stammdaten: Name, Anschrift, Geburtsdatum, Sozialversicherungsnummer, Steuer-ID
• Arbeitsvertrag inkl. Änderungs- und Ergänzungsverträgen
• Nachweise nach NachwG (wesentliche Vertragsbedingungen)
• Lohn- und Gehaltsdokumente, ELStAM-Daten
• Sozialversicherungsmeldungen (DEÜV, A1, U1/U2, eAU)
• Arbeitszeit-, Urlaubs- und Zuschlagskonten
• Zeugnisse, Beurteilungen, Weiterbildungsnachweise
• Korrespondenz: Abmahnungen, Kündigungen, Aufhebungsvereinbarungen

Optionale Inhalte (mit Sorgfalt)

• Bewerbungsunterlagen – nur für eingestellte Personen, sonst löschen
• Notizen zu Mitarbeitergesprächen – nur sachlich, nie subjektiv-wertend
• Reisekostenabrechnungen, Spesen
• Gesundheitsdaten – nur sofern erforderlich (z. B. Schwerbehindertenausweis nach Vorlage)

Verboten oder unzulässig

• Politische, religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit, sexuelle Orientierung
• Pauschale medizinische Diagnosen oder gesundheitliche Vermächtnisse
• Subjektive Eindrücke ohne Arbeitsbezug
• Daten Dritter (z. B. Familienangehöriger), die nicht zwingend benötigt werden

Maßstab ist immer die Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO: Es dürfen nur Daten verarbeitet werden, die für den Arbeitszweck zwingend erforderlich sind. Wie lange welche Inhalte aufbewahrt werden müssen, lesen Sie im Beitrag Aufbewahrungsfristen Personalakte: Komplett-Übersicht 2026/2027.

Abgrenzung: Digitalisierte Akte vs. digitale Personalakte

Viele Unternehmen verwechseln das schlichte Einscannen von Papierakten mit einer echten digitalen Personalakte. Der Unterschied ist jedoch erheblich – sowohl rechtlich als auch organisatorisch:

Rechtliche Anforderungen im Überblick

Eine digitale Personalakte unterliegt einem dichten Regelwerk aus mehreren Gesetzen. Wer als HR-Verantwortlicher sicher gehen will, sollte diese fünf Rechtsgrundlagen kennen:

1. GoBD: Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form. Sie regeln Revisionssicherheit, Unveränderbarkeit und Prüfbarkeit.
2. DSGVO: Insbesondere Art. 5 (Grundsätze), Art. 9 (besondere Datenkategorien), Art. 15 (Auskunft), Art. 17 (Löschung), Art. 32 (Sicherheit der Verarbeitung).
3. BDSG: § 26 BDSG regelt die Datenverarbeitung im Beschäftigungskontext zusätzlich zur DSGVO.
4. BetrVG: § 87 Abs. 1 Nr. 6 BetrVG (Mitbestimmung bei Überwachungssoftware), § 83 BetrVG (Einsichtsrecht der Mitarbeitenden).
5. NachwG & BVV/§ 28p SGB IV: Regeln Inhalt und ab 2027 die zwingend digitale Führung von Entgelt- und Vertragsunterlagen.

Wer darf zugreifen? Berechtigungs- und Einsichtsrechte

Der Kreis der zugriffsberechtigten Personen ist eng begrenzt. Grundsätzlich gilt das Prinzip der erforderlichkeitsbezogenen Kenntnisnahme:

• HR-Mitarbeitende: Vollständiger Zugriff im Rahmen ihrer Tätigkeit
• Direkte Führungskraft: Eingeschränkter Zugriff (z. B. Vertragsdaten, Beurteilungen) – keine Krankheits- oder Gehaltsdaten
• Lohnbuchhaltung / Steuerbüro: Zugriff auf entgeltrelevante Daten
• Geschäftsführung: Nur in begründeten Einzelfällen
• Mitarbeitender selbst: Vollständiges Einsichtsrecht nach § 83 BetrVG & Art. 15 DSGVO – jederzeit, ohne Begründung
• Betriebsrat: Einsicht nur mit ausdrücklicher Zustimmung des Mitarbeitenden (Ausnahme: § 80 Abs. 2 BetrVG)

Häufige Irrtümer in der Praxis

In der Beratung begegnen uns immer wieder dieselben Missverständnisse, die zu erheblichen rechtlichen Risiken führen können:

• „Unsere Cloud reicht aus.“ Falsch – ohne GoBD-Testat, Versionierung und Berechtigungssystem ist eine Cloud-Ablage keine digitale Personalakte.
• „Wir scannen alles und löschen das Original.“ Nur zulässig bei revisionssicherem Scan-Prozess („ersetzendes Scannen“ nach GoBD) und nur für Dokumente, die nicht zwingend in Papierform aufbewahrt werden müssen.
• „Der Mitarbeiter muss zustimmen.“ Eine individuelle Zustimmung ist nicht nötig – die Verarbeitung erfolgt nach § 26 BDSG. Mitbestimmung des Betriebsrats kann aber erforderlich sein.
• „Digitale Akten müssen ewig aufbewahrt werden.“ Im Gegenteil: Ein Löschkonzept ist nach DSGVO Pflicht. Daten sind nach Ablauf der gesetzlichen Fristen zu löschen.
• „Führungskräfte dürfen alles sehen.“ Falsch – das Need-to-know-Prinzip gilt auch im Management. Krankheitsdaten und Gehaltshöhe sind tabu, sofern nicht erforderlich.

Weiterführende Artikel zur digitalen Personalakte

• Digitale Personalakte ab 2027: Pflicht, Umfang & Folgen für Arbeitgeber – alles zur neuen Pflicht ab dem 1. Januar 2027
• Digitale Personalakte aufbauen: Best Practice, Phasenplan & Zeitbedarf – 6-Phasen-Modell und realistische Zeitkalkulation
• Aufbewahrungsfristen Personalakte: Komplett-Übersicht 2026/2027 – alle Dokumentenarten, Fristen und Löschpflichten

Fazit: Mehr als ein digitaler Aktenschrank

Eine digitale Personalakte erkennt man nicht daran, dass Dokumente elektronisch vorliegen – sondern daran, dass sie nach klaren rechtlichen, technischen und organisatorischen Standards geführt wird. GoBD-konforme Revisionssicherheit, DSGVO-gerechtes Berechtigungskonzept, Mitbestimmung des Betriebsrats und ein durchdachtes Löschkonzept sind die Grundpfeiler.

Wer heute noch mit Excel-Listen, gescannten PDFs und Cloud-Ordnern arbeitet, betreibt keine digitale Personalakte, sondern eine digitale Ablage – mit erheblichen Compliance-Risiken. Spätestens mit der ab 2027 verpflichtenden elektronischen Führung der Entgeltunterlagen wird dieser Unterschied für jeden Arbeitgeber relevant.

Sie möchten eine rechtssichere digitale Personalakte einführen?

Taxmaro unterstützt HR- und Lohnabteilungen bei der Auswahl, Einführung und laufenden Betreuung GoBD- und DSGVO-konformer Lösungen – inklusive Migration, Schulung und Schnittstellenintegration zur Lohnabrechnung.

→ Vereinbaren Sie ein kostenloses Erstgespräch und erhalten Sie eine individuelle Empfehlung für Ihr Unternehmen.