LOHN24
Leistungen · Lohn Und Gehaltsabrechnung

Datenschutz in der Lohnabrechnung – DSGVO-konform abrechnen lassen

Kaum ein Datenbestand im Unternehmen ist so sensibel wie der der Lohnabrechnung: Gehälter, Steuer-IDs, Sozialversicherungsnummern, Bankverbindungen, Konfessionszugehörigkeit, Gesundheitsdaten über Krankschreibungen, Pfändungen. Diese Daten unterliegen vollständig der DSGVO – und beim Outsourcing der Abrechnung kommt zusätzlich das Recht der Auftragsverarbeitung ins Spiel. Dieser Beitrag erklärt, welche Pflichten Arbeitgeber haben, wie eine rechtssichere Zusammenarbeit mit einem externen Dienstleister aussieht und worauf es bei IT-Sicherheit und Löschfristen ankommt.

Payroll-Fachkraft verarbeitet sensible Lohndaten DSGVO-konform am sicheren Arbeitsplatz

Warum die Lohnabrechnung ein DSGVO-Hochrisikobereich ist

Lohndaten enthalten regelmäßig auch besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO – etwa Gesundheitsdaten (Entgeltfortzahlung im Krankheitsfall) oder die Religionszugehörigkeit (Kirchensteuer). Für solche Daten gelten erhöhte Anforderungen an Rechtsgrundlage, Zugriffsschutz und Dokumentation. Gleichzeitig ist die Lohnabrechnung ein attraktives Ziel für Cyberangriffe, weil sich aus den Daten unmittelbar Geld und Identitäten ableiten lassen.

Die rechtliche Grundlage für die Verarbeitung ergibt sich überwiegend aus der Erfüllung des Arbeitsvertrags sowie aus gesetzlichen Pflichten (Steuer- und Sozialversicherungsrecht). Das bedeutet aber nicht, dass Arbeitgeber frei mit den Daten umgehen dürfen – Zweckbindung, Datenminimierung und Löschpflichten gelten uneingeschränkt.

Outsourcing = Auftragsverarbeitung: der AVV ist Pflicht

Wer die Lohnabrechnung an einen externen Dienstleister übergibt, begründet ein Verhältnis der Auftragsverarbeitung nach Art. 28 DSGVO. Der Arbeitgeber bleibt Verantwortlicher, der Dienstleister wird Auftragsverarbeiter. Voraussetzung ist ein schriftlicher (oder elektronischer) Auftragsverarbeitungsvertrag (AVV), der unter anderem regelt:

  • Gegenstand, Dauer, Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten und Kategorien betroffener Personen
  • Technische und organisatorische Maßnahmen (TOM) zum Datenschutz
  • Weisungsbindung des Auftragsverarbeiters
  • Regelungen zu Unterauftragsverarbeitern
  • Unterstützungs-, Lösch- und Rückgabepflichten nach Vertragsende
  • Kontroll- und Auditrechte des Verantwortlichen

Ohne einen wirksamen AVV ist das Outsourcing datenschutzrechtlich angreifbar. Ein seriöser Dienstleister legt den AVV von sich aus vor und kann seine technischen und organisatorischen Maßnahmen nachweisen.

Technische und organisatorische Maßnahmen (TOM)

Payroll Management Center (PMC) von LOHN24 – sicheres digitales Lohnportal

Die DSGVO verlangt ein dem Risiko angemessenes Schutzniveau. In der Lohnabrechnung gehören dazu typischerweise:

  • Verschlüsselte Datenübertragung statt unverschlüsselter E-Mail-Anhänge
  • Zugriffskonzepte mit Rollen- und Berechtigungssteuerung
  • Protokollierung von Zugriffen auf sensible Datenbestände
  • Backups und ein getestetes Wiederanlaufkonzept
  • Schutz vor Schadsoftware und Maßnahmen gegen Ransomware
  • Sensibilisierung der Mitarbeiter für Phishing und Social Engineering

Gerade die Übermittlung der Abrechnungen an die Mitarbeiter sollte über sichere, verschlüsselte Kanäle (z. B. ein geschütztes Mitarbeiterportal) erfolgen – der Postversand sensibler Gehaltsdaten ist heute weder zeitgemäß noch sicher.

Löschfristen: nicht alles darf für immer gespeichert werden

Datenschutz verlangt auch, Daten nicht länger als nötig aufzubewahren. In der Lohnabrechnung treffen DSGVO-Löschpflichten auf steuer- und sozialversicherungsrechtliche Aufbewahrungspflichten. Lohnkonten und die zugehörigen Belege unterliegen mehrjährigen Aufbewahrungsfristen; nach deren Ablauf sind die Daten zu löschen. Wichtig ist ein dokumentiertes Löschkonzept, das diese Fristen abbildet und automatisiert anstößt – „Daten einfach behalten" ist DSGVO-widrig.

So sieht datenschutzkonformes Outsourcing in der Praxis aus

1. AVV abschließen, bevor die ersten Daten fließen. 2. Sichere Übertragungswege vereinbaren (verschlüsselt, kein unverschlüsselter Mailversand). 3. TOM dokumentieren lassen und regelmäßig prüfen. 4. Löschkonzept mit den gesetzlichen Aufbewahrungsfristen abstimmen. 5. Mitarbeiterportal für die Verteilung der Abrechnungen nutzen.

Ein spezialisierter Dienstleister bringt diese Strukturen mit und entlastet den Arbeitgeber, ohne ihn aus der Verantwortung zu entlassen – die Verantwortlichen-Rolle bleibt beim Arbeitgeber, das operative Risiko sinkt jedoch deutlich.

Betroffenenrechte: Auch Mitarbeiter haben Ansprüche

Die DSGVO gewährt jedem Beschäftigten Rechte an seinen Daten, die auch in der Lohnabrechnung relevant werden:

  • Auskunftsrecht (Art. 15): Welche Daten werden zu welchem Zweck verarbeitet?
  • Berichtigungsrecht (Art. 16): falsche Stammdaten müssen korrigiert werden.
  • Löschrecht (Art. 17), eingeschränkt durch gesetzliche Aufbewahrungspflichten.
  • Recht auf Datenübertragbarkeit (Art. 20) in bestimmten Konstellationen.

In der Praxis bedeutet das: Anfragen von Mitarbeitern müssen fristgerecht und vollständig beantwortet werden. Ein Dienstleister, der die Daten ohnehin strukturiert hält, erleichtert die Erfüllung dieser Pflichten erheblich.

Meldepflicht bei Datenpannen

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten – etwa durch einen Cyberangriff oder einen Fehlversand – greift die Meldepflicht nach Art. 33 DSGVO: Die zuständige Aufsichtsbehörde ist grundsätzlich innerhalb von 72 Stunden zu informieren, gegebenenfalls auch die betroffenen Personen. Lohndaten sind dabei besonders sensibel, weil sich aus ihnen unmittelbar finanzieller Schaden und Identitätsmissbrauch ableiten lassen. Ein professioneller Dienstleister hat für solche Fälle ein Incident-Response-Konzept und unterstützt den Verantwortlichen bei der fristgerechten Meldung.

Datenschutz beim Anbieterwechsel und Vertragsende

Endet die Zusammenarbeit, verlangt die DSGVO eine geregelte Rückgabe oder Löschung der verarbeiteten Daten. Der AVV regelt, ob Daten zurückgegeben oder – nach Ablauf der gesetzlichen Aufbewahrungsfristen – gelöscht werden. Das ist auch beim Wechsel des Abrechnungsdienstleisters relevant: Die Datenübernahme zum neuen Anbieter muss ebenfalls über sichere, verschlüsselte Kanäle erfolgen.

Weiterführende Informationen

Häufige Fragen

Antworten auf einen Blick

Ja. Das Outsourcing der Lohnabrechnung ist eine Auftragsverarbeitung nach Art. 28 DSGVO. Ein schriftlicher oder elektronischer Auftragsverarbeitungsvertrag ist zwingend, bevor personenbezogene Daten übermittelt werden.

Der Arbeitgeber bleibt der Verantwortliche im Sinne der DSGVO. Der externe Abrechnungsdienstleister handelt als weisungsgebundener Auftragsverarbeiter.

So lange, wie steuer- und sozialversicherungsrechtliche Aufbewahrungsfristen es verlangen. Nach deren Ablauf besteht eine DSGVO-Löschpflicht. Ein dokumentiertes Löschkonzept stellt sicher, dass Daten weder zu früh noch zu spät gelöscht werden.

Nur über sichere, verschlüsselte Kanäle. Der unverschlüsselte Versand sensibler Gehaltsdaten per Standard-E-Mail ist datenschutzrechtlich problematisch. Ein verschlüsseltes Mitarbeiterportal ist die sichere Alternative.

Durch verschlüsselte Übertragung, Zugriffskonzepte, Protokollierung, getestete Backups, Schadsoftware-Schutz und geschulte Mitarbeiter. Ein professioneller Dienstleister hält diese Maßnahmen auf aktuellem Stand.

Weitere Themen · Lohn Und Gehaltsabrechnung

Das könnte Sie auch interessieren

Payroll-Fachkraft überträgt Lohndaten beim unterjährigen Anbieterwechsel im Büro
Lohnabrechnung unterjährig wechseln – so klappt der Anbieterwechsel ohne DatenverlustWechsel des Anbieters unterjährigMehr erfahren
Lohnbüro-Mitarbeiter erstellt Pflichtbescheinigungen am Arbeitsplatz im modernen Büro
Bescheinigungswesen in der Lohnabrechnung – alle Pflichtbescheinigungen im GriffBescheinigungswesenMehr erfahren
Lohnbuchhalter prüft konzentriert einen Abrechnungsfehler am Bildschirm im Büro
Fehler in der Lohnabrechnung – wer haftet und wie Sie sich absichernFehler in der Abrechnung & HaftungMehr erfahren
Payroll-Fachkraft überwacht DEÜV-Meldefristen am Bildschirm im modernen Büro
Fristen & Meldungen in der Lohnabrechnung – DEÜV, Beitragsnachweis & Co. sicher einhaltenFristen/Meldungen (DEÜV, BNW)Mehr erfahren
Lohnbuchhalterin führt rückwirkende Korrektur und Aufrollung in der Abrechnungssoftware durch
Korrekturen & Rückrechnungen in der Lohnabrechnung – rückwirkend richtig korrigierenKorrekturen/RückrechnungenMehr erfahren
Payroll-Team eines externen Lohnbüros arbeitet an Mehrmonitor-Arbeitsplätzen im modernen Büro
Lohnabrechnung auslagern – Vorteile, Ablauf und worauf es ankommtAuslagern/Outsourcing-EntscheidungMehr erfahren
Auch relevant · Branchen
A1-Bescheinigung & Entsendung im Bau: Pflichten bei AuslandseinsätzenArbeitszeitkonten im Bauhauptgewerbe: Ausgleichskonto, 12-Monats-Ausgleich & WinterbauBG BAU & Berufsgenossenschaft im Bau: Beiträge, Gefahrtarif & PflichtenBauabzugssteuer (§ 48 EStG): Freistellungsbescheinigung, Pflichten & PraxisBaulohnabrechnung auslagern: SOKA-BAU, ULAK & Saison-KUG rechtssicher zum Festpreis
Kunde werden

Sprechen Sie mit unseren Lohn-Experten

Wir übernehmen Ihre Lohn- und Gehaltsabrechnung zuverlässig, rechtssicher und persönlich betreut.

Jetzt Angebot anfordernKontakt aufnehmen