Personalakte schwärzen — DSGVO-konform in 5 Schritten
So schützen Sie Drittdaten bei Auskunftsanfragen nach Art. 15 DSGVO
Warum müssen Personalakten geschwärzt werden?
DSGVO-Auskunftsanfragen erfordern den Schutz von Drittdaten
Art. 15 DSGVO: Auskunftsrecht
Jede betroffene Person hat das Recht, eine vollständige Kopie ihrer gespeicherten personenbezogenen Daten zu erhalten. Arbeitgeber müssen diesem Anspruch innerhalb eines Monats nachkommen.
Ex-Mitarbeiter fordern Daten an
Besonders nach Kündigungen oder Aufhebungsverträgen fordern ehemalige Mitarbeiter regelmäßig Auskunft über ihre Personalakte. In vielen Fällen geht es um die Vorbereitung arbeitsrechtlicher Verfahren.
Drittdaten müssen geschützt werden
Personalakten enthalten regelmäßig Daten über Kollegen, Vorgesetzte und externe Personen — etwa in Beurteilungen, E-Mails oder Gehaltsvergleichen. Diese Drittdaten dürfen nicht offengelegt werden.
5 Schritte zur DSGVO-konformen Schwärzung
Strukturierter Prozess für rechtssichere Ergebnisse
Alle relevanten Dokumente sammeln
Identifizieren und sammeln Sie sämtliche Unterlagen der Personalakte: Arbeitsvertrag, E-Mail-Korrespondenz, Beurteilungen, Abmahnungen, Vermerke, Gehaltsabrechnungen, Krankmeldungen und Zeugnisse. Prüfen Sie dabei sowohl das digitale Archiv als auch physische Ordner und E-Mail-Postfächer.
Drittdaten identifizieren
Gehen Sie jedes Dokument systematisch durch und markieren Sie alle Informationen, die Rückschlüsse auf andere Personen zulassen: Namen von Kollegen, Gehälter anderer Mitarbeiter, Bewertungen durch Vorgesetzte, Kontaktdaten externer Personen und interne Vermerke mit Bezug zu Dritten.
Schwärzungsprojekt anlegen und Regeln definieren
Erstellen Sie in Docuflair ein Schwärzungsprojekt und definieren Sie Regeln, welche Datentypen automatisch erkannt und geschwärzt werden sollen. Nutzen Sie die Active-Directory-Integration, um Mitarbeiternamen und Organisationsstrukturen als Schwärzungskriterien zu importieren.
Automatisch schwärzen und manuell prüfen
Lassen Sie Docuflair die definierten Regeln auf alle Dokumente anwenden. Anschließend prüfen Sie die Ergebnisse manuell: Wurden alle Drittdaten erfasst? Wurden eigene Daten der betroffenen Person korrekt beibehalten? Passen Sie die Schwärzungen bei Bedarf an.
Selektiv exportieren
Exportieren Sie die geschwärzten Dokumente als PDF. Docuflair ermöglicht verschiedene Exportversionen je nach Empfänger — etwa eine vollständig geschwärzte Version für die betroffene Person und eine interne Version mit weniger Schwärzungen für die Rechtsabteilung.
Typischer Fall: Kündigung und Auskunftsanfrage
Praxisszenario aus dem HR-Alltag
Ein Mitarbeiter wird nach 8 Jahren Betriebszugehörigkeit gekündigt. Zwei Wochen später geht ein Schreiben seines Anwalts ein: Auskunftsanfrage nach Art. 15 DSGVO — vollständige Kopie aller personenbezogenen Daten.
Die Personalakte umfasst über 500 E-Mails, dutzende Beurteilungsbögen, Gehaltsabrechnungen, Krankmeldungen, interne Vermerke und Protokolle von Mitarbeitergesprächen. In diesen Dokumenten finden sich durchgehend Daten über Kollegen, Vorgesetzte und externe Berater.
Die Herausforderung: Innerhalb der gesetzlichen Frist von einem Monat müssen alle Drittdaten identifiziert und geschwärzt werden — ohne die eigenen Daten der betroffenen Person zu entfernen. Manuell wäre das ein Aufwand von mehreren Arbeitstagen. Mit Docuflair Redact lässt sich der Prozess auf wenige Stunden reduzieren.
Was darf nicht geschwärzt werden?
Grenzen der Schwärzung bei DSGVO-Auskunftsanfragen
Eigene Daten der betroffenen Person
Alle personenbezogenen Daten, die sich auf die anfragende Person beziehen, müssen vollständig und ungeschwärzt herausgegeben werden. Dazu zählen: Name, Gehalt, Beurteilungen über die Person, Abmahnungen, Arbeitszeiten und Kranktage.
Bewertungen über die Person
Auch subjektive Einschätzungen und Bewertungen, die sich auf die betroffene Person beziehen, fallen unter das Auskunftsrecht — selbst wenn sie vom Vorgesetzten verfasst wurden. Lediglich die Identität des Bewertenden darf in bestimmten Fällen geschwärzt werden.
Zeitaufwand: Manuell vs. Automatisch
Vergleich der Schwärzungsmethoden bei einer typischen Personalakte
| Kriterium | Manuell | Mit Docuflair Redact |
|---|---|---|
| Zeitaufwand (500 Dokumente) | 3 - 5 Arbeitstage | 2 - 4 Stunden |
| Fehlerquote | Hoch (Ermüdung, Übersehen) | Niedrig (regelbasiert) |
| Konsistenz | Schwankend | Gleichbleibend hoch |
| Nachvollziehbarkeit | Schwer dokumentierbar | Vollständiges Audit-Log |
| Skalierbarkeit | Linear steigend | Nahezu konstant |
| Verschiedene Exportversionen | Erneuter Durchlauf nötig | Per Klick wählbar |
Personalakten rechtssicher schwärzen
Erleben Sie in einer persönlichen Demo, wie Docuflair Redact Ihre DSGVO-Auskunftsanfragen beschleunigt.
Häufig gestellte Fragen
Antworten auf die wichtigsten Fragen zur Schwärzung von Personalakten
Muss ich eine Personalakte bei einer DSGVO-Auskunftsanfrage herausgeben?
Ja. Nach Art. 15 DSGVO hat jede betroffene Person das Recht auf Auskunft über ihre gespeicherten personenbezogenen Daten. Sie müssen eine Kopie der Daten bereitstellen — allerdings dürfen dabei keine personenbezogenen Daten Dritter offengelegt werden. Diese müssen vor der Herausgabe geschwärzt werden.
Wie lange habe ich Zeit, eine DSGVO-Auskunftsanfrage zu beantworten?
Die Frist beträgt einen Monat ab Eingang der Anfrage (Art. 12 Abs. 3 DSGVO). In komplexen Fällen kann die Frist um weitere zwei Monate verlängert werden, wobei die betroffene Person innerhalb des ersten Monats über die Verlängerung informiert werden muss.
Kann Docuflair Personalakten automatisch schwärzen?
Ja. Docuflair Redact erkennt personenbezogene Daten wie Namen, E-Mail-Adressen und Gehaltsinformationen automatisch und schwärzt diese regelbasiert. Über die Active-Directory-Integration können Schwärzungsregeln direkt aus der Benutzerstruktur abgeleitet werden. Eine manuelle Nachprüfung wird dennoch empfohlen.