HR-Daten
HR-Daten sind personenbezogene Daten, die im Rahmen eines Arbeitsverhältnisses verarbeitet werden – von der Bewerbung über die Beschäftigung bis zur Beendigung. Sie umfassen Stammdaten, Vertragsunterlagen, Gehaltsabrechnungen, Krankmeldungen und Bewerberdaten.
Ausführliche Erklärung
HR-Daten umfassen sämtliche personenbezogene Daten, die während der Anbahnung, Durchführung oder Beendigung eines Arbeitsverhältnisses anfallen. Dazu zählen Stammdaten wie Name, Adresse und Kontaktdaten, Kommunikationsdaten, Bankverbindungen, Steuerklassen, Arbeitsverträge, Urlaubsanträge, Gehaltsabrechnungen, Leistungsbeurteilungen und Zeugnisse. Auch Sozialversicherungsnummern, Krankenkasseninformationen oder die Religionszugehörigkeit für die Kirchensteuer gehören dazu. Eine gesetzliche Definition, welche Daten konkret zu HR-Daten zählen, gibt es nicht – entscheidend ist, dass sie im Beschäftigungskontext verarbeitet werden.
Für KMU ist der rechtskonforme Umgang mit HR-Daten besonders relevant, da hier häufig große Mengen sensibler Informationen verarbeitet werden. Die DSGVO gilt unabhängig von der Unternehmensgröße, sodass auch Ein-Personen-Unternehmen die gleichen Datenschutzpflichten erfüllen müssen wie Großunternehmen. Die Verarbeitung ist nur zulässig, wenn eine Rechtsgrundlage vorliegt – etwa die Erfüllung des Arbeitsvertrags, eine gesetzliche Pflicht oder die Einwilligung der betroffenen Person. In Deutschland und Österreich regeln zudem nationale Vorschriften wie Paragraf 26 BDSG die Datenverarbeitung im Beschäftigungsverhältnis.
Besonders sensibel sind Gesundheitsdaten, die zu den besonderen Kategorien personenbezogener Daten nach Artikel 9 DSGVO gehören. Bereits die Information, dass ein Mitarbeiter krank ist, gilt als Gesundheitsdatum, auch ohne Angabe der Diagnose. Ebenso unterliegen biometrische Daten zur Zugangskontrolle oder Informationen zur Religionszugehörigkeit strengeren Anforderungen. Unternehmen müssen technische und organisatorische Maßnahmen treffen, um HR-Daten vor unbefugtem Zugriff zu schützen – etwa durch Berechtigungskonzepte, Verschlüsselung und klar definierte Löschfristen. Nach Beendigung des Arbeitsverhältnisses müssen nicht mehr erforderliche Daten gelöscht werden, wobei gesetzliche Aufbewahrungsfristen zu beachten sind.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 18 Mitarbeitenden in Salzburg führt elektronische Personalakten. Diese enthalten Arbeitsverträge, Gehaltsabrechnungen, Urlaubsanträge und Krankmeldungen. Die Geschäftsführerin richtet ein rollenbasiertes Berechtigungskonzept ein: Die Buchhaltung erhält Zugriff nur auf abrechnungsrelevante Daten, die Personalverantwortliche auf die vollständigen Akten. Nach Austritt eines Mitarbeiters werden Leistungsbeurteilungen gelöscht, Gehaltsabrechnungen bleiben aufgrund der gesetzlichen Aufbewahrungspflicht von zehn Jahren gespeichert.
Quellen
- Personaldaten: Was Sie über Datenschutz im Personalwesen wissen müssen (HRworks, 2023)
- Personaldaten: Datenschutz in der Personalabteilung (Dr. Datenschutz, 2024)
- Personaldaten: Datenschutz und Verwaltung handhaben (Personio, 2022)
- Art. 9 DSGVO – Verarbeitung besonderer Kategorien personenbezogener Daten
- Datenschutz – Unternehmensserviceportal Österreich (2025)