HR-Software & Datenschutz – DSGVO-konform (2025)

August 13, 2025
Dr. Marcel Panzer

Einleitung: HR-Software & Datenschutz – praxisnah DSGVO-konform

HR-Software & Datenschutz gehören untrennbar zusammen: Personalstammdaten, Verträge, Gehalts- und Gesundheitsangaben zählen zu den sensibelsten Informationen im Unternehmen. Die DSGVO gibt dazu klare Leitplanken vor – von den Grundsätzen in Art. 5 DSGVO (EUR-Lex) über vertragliche Pflichten nach Art. 28 bis zu Meldepflichten bei Datenpannen (72-Stunden-Regel). Was juristisch klingt, lässt sich technisch und organisatorisch greifbar umsetzen – und genau das zeigt dieser Leitfaden: verständlich, umsetzbar, auditfest.

Wenn du dich parallel mit der Systemauswahl beschäftigst, findest du den Gesamtfahrplan in unserem Leitfaden zur HR-Software-Auswahl. Vertiefungen liefern u. a. Core HR (Stammdaten), Cloud vs. On-Premise und Budget ohne Kostenfalle.

Inhaltsverzeichnis

DSGVO-Grundsätze (Art. 5): Was sie in HR-Software praktisch bedeuten

Die DSGVO startet mit sieben Prinzipien, die alle weiteren Pflichten prägen: Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität/Vertraulichkeit und Rechenschaftspflicht (Übersicht auf GDPR-info, Rechtstext auf EUR-Lex). Für HR-Software übersetzt sich das in konkrete Felder, Workflows und Löschregeln – also Konfiguration statt Paragrafen.

Zweckbindung: Erhebe nur, was für Beschäftigung/Payroll/Compliance nötig ist; trenne optionale Felder. Im System: Pflicht-/Optionalfelder sauber definieren und dokumentieren.
Datenminimierung: Kein „Vorausfüllen auf Vorrat“. Reduziere Formularsichten je Rolle (RBAC) und nutze Least Privilege.
Speicherbegrenzung: Lege Retention Policies (z. B. Ende Beschäftigung + X) und automatische Löschläufe mit Audit-Protokoll an.
Richtigkeit: Self-Service für Mitarbeitende (Adresse, Bank, Notfallkontakte) + Genehmigungsfluss; Änderungs-Historie zwingend.
Integrität/Vertraulichkeit: Verschlüsselung in Transit/at Rest, Härtung (MFA, SSO), Log-Monitoring und Pen-Tests.
Rechenschaftspflicht: Nachweise im System ablegen: AV-Vertrag, TOMs, DPIA, Schulungen, Protokolle.

Wichtig: Die DSGVO ist technologieneutral – sie gilt unabhängig davon, ob Daten in der Cloud, on-prem oder auf Papier verarbeitet werden (vgl. Art. 2–4 DSGVO).

HR-Software & Datenschutz: Rollen & Verantwortlichkeiten (Art. 28)

In HR-Projekten ist typischerweise dein Unternehmen der Verantwortliche (Controller), der SaaS-Anbieter der Auftragsverarbeiter (Processor). Du musst also einen Dienstleister wählen, der „ausreichende Garantien“ für Technik & Organisation liefert – und das über einen AV-Vertrag rechtlich fixieren (EDPB-Leitlinie 07/2020, deutsche Fassung).

Praktisch heißt das: Der Anbieter stellt dir dokumentierte Sicherheitsmaßnahmen, Zertifikate und Prozesse bereit; du bleibst für Rechtsgrundlagen, Zweckbindung, Betroffenenrechte und Löschkonzepte verantwortlich. Ohne saubere Rollenklärung drohen Lücken – etwa bei Auskunftsrechten oder Datenlöschung.

Controller-To-Do: Verzeichnis der Verarbeitungstätigkeiten (Art. 30), Rechtsgrundlagen (Art. 6), Information der Beschäftigten, DPIA-Prüfung (vgl. Broschüre „Die DSGVO in der Bundesverwaltung“).
Processor-To-Do: nur auf dokumentierte Weisung verarbeiten, TOMs vorhalten, Subprozessoren offenlegen, bei Vorfällen unterstützen (siehe Art. 28 Abs. 3 DSGVO).

Auftragsverarbeitungsvertrag (AVV/DPA): Must-haves & TOMs

Der AV-Vertrag nach Art. 28 DSGVO ist das Herzstück jeder HR-SaaS-Beziehung. Er regelt Zweck, Art, Dauer, Datenkategorien, Betroffenenkreise sowie technische und organisatorische Maßnahmen (TOMs). Seriöse Anbieter liefern eine DPA-Vorlage samt TOMs, Audit- und Informationsrechten, Subprozessorliste und Incident-Support.

Für Anwender:innen wichtig: Prüfe, ob deine Muss-Prozesse im Vertrag gespiegelt sind – z. B. Fristen für Auskunft/Löschung, Unterstützung bei DPIA, Reaktionszeiten bei Vorfällen, Exit & Datentransfer (maschinenlesbar). Hilfreich sind zudem die von der EU-Kommission bereitgestellten SCC-FAQ für Controller-Prozessor-Beziehungen.

Unverzichtbar: Weisungsbindung, Vertraulichkeit, TOMs (Verschlüsselung, RBAC, Logging), Subprozessor-Kontrolle, Audit-/Nachweispflichten, Lösch-/Rückgaberegeln.
Good Practice: SLA für DSAR-Support, Security Incident-Hotline, Vorfall-Playbooks, BYOK/KMS-Optionen.

DPIA/Folgenabschätzung: Wann nötig und wie umsetzen

Eine Datenschutz-Folgenabschätzung (DPIA) ist erforderlich, wenn eine Verarbeitung „voraussichtlich ein hohes Risiko“ für Rechte/Freiheiten mit sich bringt – z. B. bei umfangreicher Verarbeitung sensibler Daten, systematischer Bewertung/Profiling oder großflächiger Überwachung. Orientierung geben die WP248rev.01-Leitlinien sowie die EDPB-Guidelines (final).

Für HR-Software bedeutet das: Prüfe Umfang und Tiefe (z. B. Gesundheitsdaten, Gefährdungsbeurteilungen, Leistungsbeurteilungen, Standortdaten) sowie Kombinationsrisiken aus Integrationen. Eine kompakte DPIA umfasst Zweck, Prozessbeschreibung, Risikoanalyse, TOMs und Rest-Risiko.

Inputquellen: Prozessdiagramm, Datenfelder & Kategorien, Systemarchitektur, Subprozessoren, Übermittlungen (Drittländer).
Bewerten: Eintrittswahrscheinlichkeit × Schadensschwere; Fokus auf Integrität/Vertraulichkeit & Diskriminierungsrisiken.
Ergebnis: Maßnahmenplan (z. B. Pseudonymisierung, stärkere RBAC, Need-to-know, Data Masking), Review-Zyklus.

Betroffenenrechte (DSAR): Vom Antrag zur Erfüllung im System

Beschäftigte haben Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit. Für die Praxis heißt das: Dein HR-System muss Suchen, Exporte (maschinenlesbar), Korrekturen mit Historie und Löschungen mit Fristen/Audit ermöglichen – inklusive Dokumentation der Erfüllung (GDPR-Info Überblick).

Richte ein DSAR-Postfach oder Portal ein, definiere SLAs (z. B. 30 Tage) und bilde Standardschritte ab: Identitätsprüfung, Datensichtung, Export, Antwortschreiben, Nachweise. Prüfe, ob Anhänge/Notizen/Kommentare in allen Modulen erfasst werden (ATS, Learning, Performance).

Systemseitig: Volltextsuche, Filter nach Person & Zeitraum, DSGVO-Export (JSON/CSV/PDF), Lösch-Job mit Ausnahme-Handling.
Organisatorisch: DSAR-Owner, Eskalationsmatrix, Vorlagen & Textbausteine, Trainings für HR-Team.

Technische & organisatorische Maßnahmen: ISO 27001, BSI C5, Verschlüsselung, RBAC

Gute Anbieter belegen Informations- und Cloud-Sicherheit mit anerkannten Standards: ISO/IEC 27001 für ISMS-Prozesse und in Deutschland BSI C5 als Prüfstandard für Cloud-Kontrollen (siehe auch C5:2020 PDF). Für dich als Anwender: Zertifikate sind kein Freifahrtschein – aber starke Anker in der Due Diligence.

Technisch zählen vor allem: TLS 1.2+ in Transit, Verschlüsselung „at Rest“, Schlüsselmanagement (KMS/HSM, Key-Rotation), Role-Based Access Control nach Least Privilege, starke Authentisierung (SSO/SAML/OIDC, MFA), Mandantentrennung, Logging/Audit-Trail, Schwachstellenmanagement (CVSS-basiert), Pen-Tests sowie Notfallmanagement (Backup/Restore, DR-Tests).

ISO 27001-Nachweis: Gültiges Zertifikat, Geltungsbereich (Scope), Statement of Applicability (ISO Online Browsing Platform).
BSI C5-Bericht: Prüfbericht (Type 2), Zeitraum, Abdeckung der Cloud-Kontrollen (siehe BSI-Seite).
Operative Sicherheit: MFA-Pflicht, SSO, SCIM-Provisioning, Admin-Zwei-Personen-Prinzip, SIEM/Alerting.

Internationale Datenübermittlungen: SCC & EU-US Data Privacy Framework

Werden HR-Daten außerhalb des EWR verarbeitet, brauchst du eine Rechtsgrundlage für die Übermittlung. Üblich sind die Standardvertragsklauseln (SCC) – siehe Durchführungsbeschluss (EU) 2021/914 und die Kommissionsseite zu SCC. Für Übermittlungen in die USA gibt es seit 10. Juli 2023 den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (EU 2023/1795, DPF-Programmübersicht).

HR-Software & Datenschutz Praxistipp: Lasse dir die aktuelle Liste der Subprozessoren mit Länderangaben geben und notiere, ob Verarbeitung/Support aus Drittstaaten erfolgt. Ergänze ein Transfer Impact Assessment (TIA) und technische Schutzmaßnahmen (z. B. Verschlüsselung mit EU-Schlüsselhaltung).

SCC (2021): Richtige Module wählen (Controller–Processor etc.), Annex mit TOMs/Transfers sauber ausfüllen (SCC-Q&A).
DPF: Nur für zertifizierte US-Unternehmen; Status im DPF-Verzeichnis prüfen.
TIA: Risiko der Drittlandzugriffe bewerten; zusätzliche Verschlüsselungs-/Zugriffskontrollen festlegen.

HR-Software & Datenschutz: Datenpannen und 72-Stunden-Regel

Bei einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche die Aufsichtsbehörde „unverzüglich und möglichst binnen 72 Stunden“ informieren – inkl. Ursachen, Umfang, Folgen und Maßnahmen (EDPB-Leitfaden, EDPS-Seite). Wann man als „aware“ gilt, präzisiert EDPB Guidelines 9/2022.

Technisch heißt das: Ereigniserkennung (SIEM/Monitoring), Playbooks für Szenarien (falscher Empfänger, kompromittierter Account, fehlerhafter Export), Containment, forensische Sicherung, Bewertung der Risiken für Betroffene, Dokumentation. Übe den Prozess – wie einen Feueralarm.

72-h-Timer: Start bei Kenntnis, nicht bei Ursache; Verzögerungen begründen (ICO-Praxisleitfaden).
Kommunikation: Interne Eskalation (DSB, CISO), Behörde, ggf. Betroffene – mit Klartext & Hilfsangeboten.
Prävention: MFA, Impossible-Travel-Alerts, DLP-Regeln, geringste Rechte, regelmäßige Rechte-Reviews.

Aufbewahrung, Löschung & Backups: Speicherbegrenzung wirklich leben

„Speicherbegrenzung“ ist mehr als ein Löschknopf. Du brauchst Retention Schedules je Datenkategorie (Arbeits-/Steuerrecht beachten), automatisierte Löschläufe, Freigabeprozesse und Belege. Besonders knifflig: Backups und Protokolle – sie dürfen die Löschung nicht heimlich aushebeln. Rechtliche Basis und Prinzipien findest du direkt im DSGVO-Text (Art. 5, 17, 30).

Praxisleitlinie: Operative Löschung (Primärsystem) zeitnah, Backups mit Rolling Retention & organisatorischer Sicherung (kein Restore ohne Zweck). Protokolle nach Minimalprinzip, aber so, dass Revisions- und Incident-Nachweise möglich bleiben.

Systemseitig: Regeln pro Objekt (Person, Vertrag, Dokument, Log), Legal Hold, dokumentierte Löschbelege.
Organisatorisch: Freigabe durch HR & Legal, stichprobenartige Kontrollen, jährliche Policy-Reviews (vgl. BfDI Info 6).

Vendor Due Diligence: Fragenkatalog für HR-Software

Bevor du unterschreibst, prüfe systematisch: Zertifikate, Architektur, Subprozessoren, Standort(e), DSAR-Funktionen, Löschkonzepte, Support und Incident-Prozesse. Nutze Demo/PoC-Phasen, um Belege zu sammeln – nicht nur Aussagen.

Unterstützung geben Standards wie ISO 27001 und BSI C5, offizielle Bausteine wie SCC-Q&A sowie Leitfäden von Behörden (EDPB, BfDI).

Zertifikate & Prüfberichte: ISO 27001 (Scope!), C5-Bericht (Type 2), ggf. SOC 2 – Gültigkeit/Zeitraum prüfen.
Security-Controls: Verschlüsselung, KMS/HSM, SSO/MFA, RBAC, SCIM, Admin-Kontrollen, Pen-Tests, Patch-Zyklus.
Datenschutz-Artefakte: AV-Vertrag/TOMs, Subprozessorliste, DSAR-Prozess, Löschkonzept, TIA (bei Drittländern), SCC/DPF-Status.

4-Schritte-Check: So wirst du DSGVO-fit im HR

Mit diesem kompakten Ablauf ziehst du Datenschutz in die HR-Software – statt ihn daneben zu dokumentieren. Jeder Schritt erzeugt prüffähige Ergebnisse, die im Audit und bei Anfragen tragen.

Inventarisieren & begründen: Verzeichnis der Verarbeitung (Prozesse, Felder, Rechtsgrundlagen), Grundsätze aus Art. 5 abbilden (EUR-Lex).
Absichern & vertraglich fixieren: AV-Vertrag inkl. TOMs, Subprozessoren, ggf. SCC/DPF abschließen (SCC 2021/914, DPF-Beschluss).
Umsetzen & testen: RBAC, SSO/MFA, Verschlüsselung, Löschläufe, DSAR-Exports; Notfall-/Incident-Drills (72-h) (EDPB 9/2022).
Messen & verbessern: KPIs für DSAR-Fristen, Löschquoten, Rechte-Reviews, Awareness-Trainings; jährliche Re-Zertifikate prüfen (ISO 27001, C5).

Methodische Unterstützung für Auswahl & Demos findest du in unseren Beiträgen HR-Software-Auswahl, Kollaborative Auswahl und Budget.

Mit Find-Your-HR schneller zur sicheren Wahl

Unsere KI-Matching-Engine bringt deine Anforderungen mit dem Markt zusammen und erstellt in Minuten eine datenbasierte Shortlist. Im Selection-Portal bewertest du Anbieter kollaborativ: AV-Verträge & TOMs, DSAR-Fähigkeiten, Löschkonzepte, Integrationen (SSO/IDP, Payroll) und TCO-Implikationen. So werden HR-Software & Datenschutz vom Risiko zum Wettbewerbsvorteil.

Starte im Leitfaden zur HR-Software-Auswahl, vertiefe dich in Cloud vs. On-Premise, Core HR und HR-Software-Demo richtig nutzen – oder sprich uns direkt an: /kontakt.

Weiterführende, hochwertige Quellen

Dr. Marcel Panzer

Durch zahlreiche erfolgreich abgeschlossene Auswahlprojekte hat Marcel Geschäftsprozesse in Start-ups, mittelständischen Unternehmen und Konzernen digitalisiert. Er entwickelte mehrere KI-Tools und promovierte im Bereich Deep Learning / Reinforcement Learning, wobei er klassische Heuristiken mit State-of-the-Art-Algorithmen verknüpfte. So verbindet er technische Exzellenz mit praxisnaher Software-Expertise, um Unternehmen schnell die am besten passende Software zu finden.

Erfolgreiche HR-Digitalisierung beginnt mit Klarheit: Rollen in HR-Projekten müssen früh definiert werden.

Rollen in HR-Projekten – Verantwortlichkeiten klar regeln

Erfolgreiche HR-Digitalisierung beginnt mit Klarheit: Rollen in HR-Projekten müssen früh definiert, transparent kommuniziert und konsequent gelebt werden. Ohne saubere Zuständigkeiten

Lernen, messen, nachweisen: Wie moderne HR-Software Training, Skills und Zertifikate verbindet.

Training & Skills in HR-Software – Lernpfade, Skill-Graph, Zertifikate

Lernen wird zum Produktivitätshebel, wenn Prozesse, Daten und Nachweise ineinandergreifen. Genau hier setzt Training HR-Software an: Sie orchestriert Lernpfade, verknüpft