Zum Inhalt springen
Teamplaner
AnmeldenRegistrieren
Datenschutz
9 min26. Juni 2026

DSGVO und Mitarbeiterdaten: Was dürfen Arbeitgeber speichern – und was nicht?

Jeder Arbeitgeber speichert Mitarbeiterdaten – Name, Adresse, Bankverbindung, Arbeitszeiten, Krankmeldungen. Doch seit der DSGVO stellt sich die Frage: Welche Daten darf ich überhaupt erfassen, wie lange aufbewahren, und wann muss ich löschen? Gerade kleine und mittlere Betriebe mit Schichtplanung und digitaler Zeiterfassung stehen hier vor konkreten Herausforderungen.

Rechtsgrundlage: Warum Sie Mitarbeiterdaten speichern dürfen

Die DSGVO verbietet Datenverarbeitung nicht pauschal – sie verlangt eine Rechtsgrundlage. Für Arbeitgeber sind drei Artikel zentral:

  • Art. 6 Abs. 1 lit. b DSGVO – Verarbeitung zur Erfüllung des Arbeitsvertrags. Das deckt alles ab, was Sie brauchen, um das Arbeitsverhältnis durchzuführen: Lohnabrechnung, Schichtplanung, Zeiterfassung.
  • Art. 6 Abs. 1 lit. c DSGVO – Gesetzliche Pflichten. Steuerliche Aufbewahrungspflichten, Sozialversicherungsmeldungen, die Pflicht zur Arbeitszeiterfassung seit dem BAG-Urteil 2022.
  • § 26 BDSG (bzw. ab 2025: § 26 BDSG n.F.) – Spezialregelung für Beschäftigtendaten. Erlaubt die Verarbeitung, wenn sie für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Wichtig: Die Einwilligung des Mitarbeiters ist im Arbeitsverhältnis problematisch. Wegen des Machtgefälles zwischen Arbeitgeber und Arbeitnehmer akzeptieren Datenschutzbehörden eine Einwilligung nur selten als tragfähige Grundlage. Stützen Sie sich lieber auf Vertragserfüllung oder gesetzliche Pflichten.

Welche Daten dürfen Sie konkret speichern?

Hier eine Übersicht, geordnet nach Kategorien:

Stammdaten (Vertragserfüllung):

  • Name, Adresse, Geburtsdatum
  • Steuer-ID, Sozialversicherungsnummer
  • Bankverbindung für Lohnzahlung
  • Qualifikationen und Zertifikate, soweit für die Tätigkeit relevant
  • Notfallkontakt (mit Einwilligung des Kontakts)

Arbeitszeitdaten (gesetzliche Pflicht + Vertrag):

  • Beginn und Ende der täglichen Arbeitszeit – seit dem BAG-Urteil vom 13.09.2022 (Az. 1 ABR 22/21) verpflichtend
  • Pausenzeiten gemäß § 4 ArbZG
  • Überstunden und deren Ausgleich
  • Schichtzuordnungen und Dienstpläne

Gesundheitsdaten (besondere Kategorie, Art. 9 DSGVO):

  • Krankmeldungen (AU-Bescheinigungen) – ja, aber nur Dauer und ob Folge-AU, nicht die Diagnose
  • Schwerbehindertenstatus – nur wenn für Zusatzurlaub oder Kündigungsschutz relevant
  • Schwangerschaft – sobald mitgeteilt, wegen Mutterschutz speicherbar

Gesundheitsdaten sind nach Art. 9 DSGVO besonders geschützt. Speichern Sie hier nur das Minimum. Die digitale Krankmeldung (eAU) hat den Prozess vereinfacht, ändert aber nichts an den Datenschutzanforderungen.

Was Sie NICHT speichern dürfen:

  • Politische Meinung, Gewerkschaftszugehörigkeit (außer für Gewerkschaftsbeiträge)
  • Religiöse Überzeugung (Ausnahme: kirchliche Arbeitgeber)
  • Genetische oder biometrische Daten ohne spezifische Rechtsgrundlage
  • Private Social-Media-Aktivitäten
  • GPS-Tracking ohne Betriebsvereinbarung und konkreten Zweck

Zeiterfassung und Schichtpläne: Was gilt datenschutzrechtlich?

Die digitale Zeiterfassung ist seit dem BAG-Urteil nicht mehr optional. Aber wie steht es um den Datenschutz?

Erlaubt:

  • Erfassung von Kommen, Gehen und Pausen – das ist gesetzliche Pflicht
  • Zuordnung zu Schichten und Abteilungen
  • Auswertung der Arbeitszeiten für Lohnabrechnung und Überstundenberechnung
  • Soll-Ist-Vergleiche auf Mitarbeiterebene

Nicht erlaubt ohne Weiteres:

  • Keystroke-Logging oder Screenshots am Arbeitsplatz
  • Dauerhafte Videoüberwachung einzelner Mitarbeiter
  • Leistungsranking auf Basis von Zeiterfassungsdaten (ohne Betriebsvereinbarung)

Ein digitaler Schichtplaner wie der Teamplaner speichert genau die Daten, die Sie brauchen – Schichtzuordnung, Arbeitszeiten, Abwesenheiten – und nicht mehr. Das ist datenschutzrechtlich sauberer als jede Excel-Tabelle auf einem geteilten Netzlaufwerk, wo unkontrolliert Kopien entstehen.

Löschfristen: Wann müssen Mitarbeiterdaten gelöscht werden?

Die DSGVO kennt das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e). Sobald der Zweck entfällt, müssen Daten gelöscht werden – es sei denn, andere Gesetze verlangen eine längere Aufbewahrung.

Konkrete Fristen nach Austritt des Mitarbeiters:

  • Lohnabrechnungen, Steuerdaten: 6 Jahre (§ 257 HGB) bzw. 10 Jahre bei steuerlicher Relevanz (§ 147 AO)
  • Sozialversicherungsnachweise: 5 Jahre (§ 28f SGB IV)
  • Arbeitszeitnachweise: 2 Jahre (§ 16 Abs. 2 ArbZG)
  • Bewerbungsunterlagen abgelehnter Bewerber: 6 Monate (wegen AGG-Klagefrist)
  • Allgemeine Personalakte: 3 Jahre nach Austritt (regelmäßige Verjährungsfrist, § 195 BGB)
  • Krankmeldungen: Spätestens nach Ablauf des Entgeltfortzahlungszeitraums löschen, wenn kein weiterer Zweck besteht

Praxistipp: Erstellen Sie ein Löschkonzept mit konkreten Fristen für jede Datenkategorie. Tragen Sie Löschtermine in Ihren Kalender ein. Nach drei Jahren Betriebszugehörigkeit und Austritt eines Mitarbeiters vergisst man sonst schnell, die Akte zu bereinigen.

Praxisbeispiel: Bäckerei Krause mit 12 Mitarbeitern

Sandra Krause betreibt eine Bäckerei mit Café in Leipzig. 12 Mitarbeiter, drei Schichten (Backstube ab 3 Uhr, Verkauf ab 6 Uhr, Café ab 9 Uhr). Als ihr Steuerberater sie auf die DSGVO anspricht, wird ihr mulmig – sie hat Personalakten seit 2015 in einem Ordner, Schichtpläne als Excel auf einem USB-Stick und Krankmeldungen in einer Schublade.

Ihre Bestandsaufnahme:

  • Personalakten von drei ehemaligen Mitarbeitern (Austritt 2019, 2020, 2021) – die aus 2019 und 2020 hätte sie längst löschen müssen
  • Arbeitszeitnachweise seit 2018 – alles vor 2024 kann weg (2-Jahres-Frist)
  • Krankmeldungen mit Diagnosen – Diagnosen hätte sie nie speichern dürfen
  • Excel-Schichtpläne mit privaten Handynummern – ohne Einwilligung problematisch

Was sie getan hat:

  1. Alte Personalakten geschreddert und Löschprotokoll erstellt
  2. Diagnosen von allen Krankmeldungen geschwärzt
  3. Private Handynummern nur noch mit schriftlicher Einwilligung gespeichert
  4. Digitalen Schichtplaner eingeführt – Zugriffsrechte pro Rolle, keine unkontrollierten Kopien
  5. Löschkonzept erstellt: Kalendereinträge für jede Frist

Zeitaufwand: ein Nachmittag. Kosten für Bußgeld, wenn es schiefgegangen wäre: bis zu 20 Millionen Euro oder 4% des Jahresumsatzes (Art. 83 DSGVO). Bei KMU verhängen die Aufsichtsbehörden zwar selten Maximalbußgelder, aber 5.000-25.000 € kommen durchaus vor.

Rechte Ihrer Mitarbeiter: Was Sie gewähren müssen

Mitarbeiter haben nach der DSGVO umfassende Rechte – und die werden zunehmend eingefordert:

  • Auskunftsrecht (Art. 15): Jeder Mitarbeiter darf jederzeit erfahren, welche Daten Sie über ihn speichern. Sie haben einen Monat Zeit zur Antwort.
  • Berichtigungsrecht (Art. 16): Falsche Daten müssen korrigiert werden.
  • Löschungsrecht (Art. 17): Nach Austritt und Ablauf der Aufbewahrungsfristen müssen Daten gelöscht werden – auf Verlangen auch früher, wenn kein Zweck mehr besteht.
  • Datenübertragbarkeit (Art. 20): Der Mitarbeiter kann seine Daten in einem gängigen Format verlangen (relevant z.B. bei Arbeitszeitnachweisen).
  • Widerspruchsrecht (Art. 21): Gegen Verarbeitung auf Basis berechtigter Interessen kann Widerspruch eingelegt werden.

Praxis: Bereiten Sie eine Vorlage für Auskunftsanfragen vor. Wenn ein Ex-Mitarbeiter nach seinen Daten fragt, sollten Sie nicht erst überlegen müssen, wo die verteilt liegen. Ein zentrales System – ob digitale Personalplanung oder strukturierte Personalakte – spart hier Nerven.

Technische und organisatorische Maßnahmen (TOMs)

Art. 32 DSGVO verlangt angemessene Schutzmaßnahmen. Für KMU heißt das konkret:

  • Zugriffskonzept: Nicht jeder Mitarbeiter braucht Zugang zu allen Personaldaten. Schichtleiter sehen Dienstpläne, aber keine Gehaltsdaten.
  • Verschlüsselung: Personalakten auf dem PC? Festplatte verschlüsseln. E-Mails mit Lohnabrechnungen? Passwortgeschützt senden.
  • Physischer Schutz: Papierakten in abschließbaren Schränken, nicht auf dem Schreibtisch.
  • Backup und Löschbarkeit: Daten sicher aufbewahren, aber auch gezielt löschen können.

Cloud-basierte Tools wie der Teamplaner bringen viele dieser Maßnahmen von Haus aus mit: Rollenbasierte Zugriffe, verschlüsselte Übertragung, automatische Backups und die Möglichkeit, Mitarbeiterdaten gezielt zu löschen.

Häufige Fehler bei KMU – und wie Sie sie vermeiden

  • Kein Verarbeitungsverzeichnis: Art. 30 DSGVO verlangt ein Verzeichnis aller Verarbeitungstätigkeiten. Betrifft auch KMU, sobald sie regelmäßig Mitarbeiterdaten verarbeiten – also immer.
  • Excel-Tabellen mit Personaldaten auf geteilten Laufwerken: Jeder im Netzwerk hat Zugriff, Kopien entstehen unkontrolliert, Löschung ist nicht nachvollziehbar.
  • WhatsApp-Gruppen für Schichtänderungen: Private Nummern werden ohne Rechtsgrundlage verarbeitet, Meta erhält Zugriff auf Kontaktdaten. Nutzen Sie stattdessen den Dienstplan mit integrierter Benachrichtigung.
  • Keine Datenschutzinformation für Mitarbeiter: Art. 13 DSGVO verlangt, dass Sie Mitarbeiter bei Erhebung ihrer Daten informieren. Ein Informationsblatt bei Einstellung reicht.

FAQ

Darf ich Arbeitszeiten meiner Mitarbeiter digital erfassen und speichern?

Ja, seit dem BAG-Urteil vom September 2022 sind Sie sogar dazu verpflichtet. Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 3 Abs. 2 Nr. 1 ArbSchG. Erfassen Sie Beginn, Ende und Dauer der täglichen Arbeitszeit. Aufbewahrungsfrist: mindestens 2 Jahre nach § 16 Abs. 2 ArbZG.

Wie lange darf ich die Personalakte nach Kündigung aufbewahren?

Die allgemeine Personalakte sollten Sie 3 Jahre nach Austritt aufbewahren (Verjährungsfrist für arbeitsrechtliche Ansprüche). Lohn- und Steuerdaten müssen 6 bzw. 10 Jahre archiviert werden. Erstellen Sie ein Löschkonzept mit gestaffelten Fristen für jede Datenkategorie.

Brauche ich einen Datenschutzbeauftragten für mein Unternehmen?

Einen internen oder externen Datenschutzbeauftragten brauchen Sie ab 20 Mitarbeitern, die regelmäßig mit personenbezogenen Daten umgehen (§ 38 BDSG). Auch unter dieser Schwelle müssen Sie die DSGVO einhalten – nur die formale Benennung entfällt.

Darf ich private Handynummern für Schichtänderungen nutzen?

Nur mit Einwilligung des Mitarbeiters, und die muss freiwillig sein. Besser: Nutzen Sie einen digitalen Schichtplaner mit App-Benachrichtigungen. Dann brauchen Sie keine privaten Nummern, und der Mitarbeiter wird trotzdem rechtzeitig informiert.

Was passiert bei einem DSGVO-Verstoß mit Mitarbeiterdaten?

Die Bußgelder können bis zu 20 Millionen Euro betragen. In der Praxis liegen Bußgelder für KMU bei Verstößen mit Beschäftigtendaten zwischen 5.000 und 50.000 Euro. Hinzu kommen Schadensersatzansprüche der betroffenen Mitarbeiter nach Art. 82 DSGVO. Das Landgericht Düsseldorf hat 2023 einem Mitarbeiter 5.000 € zugesprochen, weil sein Arbeitgeber eine Auskunftsanfrage ignoriert hatte.

Fazit: DSGVO ist kein Hexenwerk – aber auch keine Option

Als Arbeitgeber dürfen Sie alle Mitarbeiterdaten speichern, die Sie für das Arbeitsverhältnis brauchen. Die DSGVO verlangt dabei drei Dinge: eine Rechtsgrundlage für jede Datenverarbeitung, angemessene Schutzmaßnahmen und konsequentes Löschen, wenn der Zweck entfällt.

Gerade beim Thema Schichtplanung und Zeiterfassung sind digitale Tools keine Gefahr für den Datenschutz – sie sind die Lösung. Strukturierte Systeme mit Zugriffskonzept und Löschfunktion sind datenschutzrechtlich jeder Excel-Tabelle und jedem Papierordner überlegen.

Testen Sie den Teamplaner kostenlos – DSGVO-konform, mit rollenbasierten Zugriffen und ohne versteckte Datensammlung.

Bereit loszulegen?

Testen Sie den Teamplaner kostenlos und erstellen Sie Ihren ersten Schichtplan in Minuten.

Verwandte Artikel

Recht & Compliance
6 min

Zeiterfassungspflicht 2026: Was Arbeitgeber jetzt wissen müssen

How-To
5 min

Digitale Zeiterfassung einrichten: Komplette Anleitung für Einsteiger

Arbeitsrecht
7 min

Krankmeldung digital: Was gilt 2026 für die eAU in kleinen Betrieben?