Die digitale Personalakte ist kein „Shared Drive“
In analogen Akten war der Zugriff oft durch bauliche Realität begrenzt. Im digitalen Raum braucht es strukturierte Regeln und technische Sicherungen, um zu steuern:
Wer hat wann Zugriff auf welche Dokumente?
Wer darf Inhalte bearbeiten, freigeben oder löschen?
Wie wird jeder Zugriff nachvollziehbar dokumentiert?
Art. 5 & 6 DSGVO + § 26 BDSG
Zweckbindung: Datenzugriffe müssen einem klaren Zweck dienen (z. B. Entgeltabrechnung, Vertragsprüfung)
Rechte der Betroffenen: Mitarbeitende haben das Recht auf Auskunft, Berichtigung, ggf. Löschung
Integrität und Vertraulichkeit: Arbeitgeber müssen sicherstellen, dass nur berechtigte Personen Zugriff erhalten
Rechenschaftspflicht: Die Organisation muss nachweisen können, dass der Zugriff rechtmäßig erfolgte
Praxisbeispiele: Wer darf was?
Personalabteilung - Vollzugriff auf alle relevanten Akteninhalte (Vertrag, Abrechnung, Abwesenheiten)
Führungskraft - Eingeschränkter Zugriff – z. B. auf Teamstruktur, Zielvereinbarungen, Dienstzeiten
IT-Admin - Technische Systemrechte, aber kein inhaltlicher Zugriff auf Dokumente
Beschäftigte selbst - Zugriff auf eigene Daten (z. B. Verträge, Abrechnungen, Nachweise) über Self-Service
Betriebsrat/Personalrat - Kein allgemeiner Aktenzugriff, nur bei Einzelfällen im Rahmen der Mitbestimmung
Wichtig: Alle Rollen müssen nachvollziehbar definiert, dokumentiert und technisch abgebildet sein.
Technische Anforderungen
Rollen- und Rechtekonzepte
granular (nicht „alle sehen alles“)
individuell zuweisbar
nach Abteilungen / Standorten / Funktionen differenzierbar
Protokollierung und Nachvollziehbarkeit
Wer hat wann welches Dokument aufgerufen, bearbeitet oder gelöscht?
Protokolle müssen auswertbar sein (z. B. bei DSGVO-Auskunft)
Logging und Revisionssicherheit
unveränderliche Logs
regelmäßige Überprüfung der Rechte
ideal: automatische Meldung bei Zugriffsänderung
Häufige Fehler in der Praxis
Zugriff über Sammelaccounts oder Gruppenrechte
Löschprozesse nicht dokumentiert oder unklar geregelt
Externe Admins mit Vollzugriff auf personenbezogene Inhalte
Mitarbeitende können ihre eigenen Unterlagen nicht einsehen
Keine oder veraltete Rollenmodelle bei Abteilungswechsel
Tipp: Zugriffsrechte mindestens jährlich prüfen und bei Rollenwechsel sofort anpassen.
Was Beschäftigte erwarten dürfen?
Transparenz über gespeicherte Daten
Klarheit wer Zugriff auf welche Informationen hat
Möglichkeit zur Einsicht, Korrektur oder Löschanfrage
Schutz vor unbegründeter Datennutzung
Fazit
Zugriffsrechte in der digitalen Personalakte sind Kernstück einer rechtskonformen HR-Digitalisierung. Wer Rollen, Protokolle und Verantwortlichkeiten sauber definiert, schützt nicht nur Daten, sondern auch Prozesse, Menschen und Organisation.
Ausblick auf Teil V
Im letzten Teil der Serie zeigen wir, wie Organisationen den Umstieg auf eine digitale Personalakte in fünf strukturierten Schritten, mit Weitblick, Beteiligung und Systematik planen und umsetzen können.
