HR-Daten
HR-Daten sind personenbezogene Daten, die im Rahmen eines Arbeitsverhältnisses verarbeitet werden – von der Bewerbung über die Beschäftigung bis zur Beendigung. Sie umfassen Stammdaten, Vertragsunterlagen, Gehaltsabrechnungen, Krankmeldungen und Bewerberdaten.
Ausführliche Erklärung
HR-Daten (auch Personaldaten oder Mitarbeiterdaten genannt) bezeichnen alle personenbezogenen Informationen, die ein Arbeitgeber im Zuge der Anbahnung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses verarbeitet. Dazu zählen etwa Name, Adresse, Geburtsdatum, Personalnummer, Kontodaten, Sozialversicherungsnummer, Arbeitsverträge, Gehaltsabrechnungen, Urlaubsanträge, Arbeitszeugnisse oder Bewerbungsunterlagen. Auch Gesundheitsdaten wie Krankmeldungen oder Krankenkasseninformationen fallen darunter und gelten nach Artikel 9 DSGVO als besondere Kategorien personenbezogener Daten mit erhöhtem Schutzbedarf.
Die Verarbeitung von HR-Daten ist primär in der Datenschutz-Grundverordnung (DSGVO) und im Bundesdatenschutzgesetz (BDSG) geregelt, wobei § 26 BDSG und § 88 DSGVO die Datenverarbeitung im Beschäftigungskontext konkret regeln. Für österreichische Unternehmen gelten entsprechende nationale Ergänzungen. Die rechtliche Grundlage für die Verarbeitung ergibt sich meist aus der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder aus gesetzlichen Verpflichtungen etwa im Arbeits-, Steuer- oder Sozialversicherungsrecht.
Für KMU gilt der Grundsatz der Datenminimierung: HR-Abteilungen dürfen nur so viele Daten wie nötig verarbeiten. Arbeitgeber sind nur berechtigt, Daten zu erheben, wenn diese für das Arbeitsverhältnis absolut notwendig sind. Informationen wie Familienstand oder Hobbys sind für die Ausübung der Tätigkeit in der Regel nicht relevant und dürfen ohne ausdrückliche Einwilligung nicht erhoben werden. Zudem bestehen strikte Löschpflichten: Nach Ende des Beschäftigungsverhältnisses müssen Daten nach Ablauf gesetzlicher Aufbewahrungsfristen gelöscht werden – etwa sieben Jahre für steuerrelevante Unterlagen oder sechs Monate für Bewerbungsunterlagen nach einer Absage.
HR muss Daten fristgerecht löschen, das Prinzip der Datensparsamkeit einhalten, über die Datenverarbeitung informieren und Zugriffe kontrollieren sowie IT-Systeme ausreichend absichern. Für Unternehmen mit mindestens zehn Angestellten schreibt die DSGVO vor, einen Datenschutzbeauftragten zu benennen. Die Nicht-Einhaltung kann zu erheblichen Bußgeldern führen.
Praxisbeispiel
Eine 18-Personen-Steuerberatungskanzlei in Linz digitalisiert ihre Personalverwaltung. Dabei werden Name, Adresse, IBAN, Sozialversicherungsnummer und Steuer-ID der Mitarbeitenden in einer HR-Software gespeichert. Krankmeldungen werden separat und zugriffsbeschränkt abgelegt. Die Kanzlei hat einen externen Datenschutzbeauftragten bestellt, ein Löschkonzept erstellt und im Verarbeitungsverzeichnis dokumentiert, wer welche HR-Daten zu welchem Zweck verarbeitet. Bewerbungsunterlagen abgelehnter Kandidat:innen werden nach sieben Monaten automatisch gelöscht.
Quellen
- Personaldaten: Was Sie über Datenschutz im Personalwesen wissen müssen (HRworks, 2023)
- Personaldaten: Datenschutz in der Personalabteilung (Dr. Datenschutz, 2024)
- Personaldaten: Datenschutz und Verwaltung handhaben (Personio, 2022)
- Art. 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten
- Datenschutz – Unternehmensserviceportal Österreich (2025)