LOHN24
Ratgeber · Datenschutz

HR-Software, Cloud und Lohnabrechnung: Wo liegen die Risiken?

Viele Unternehmen setzen heute auf cloudbasierte HR-Software – für Personalverwaltung, Zeiterfassung oder direkt für die Lohnabrechnung. Das kann sinnvoll sein. Es bringt aber DSGVO-Anforderungen mit, die sich von klassischer On-Premises-Software unterscheiden. Dieser Ratgeber zeigt, welche Fragen Unternehmen stellen sollten, bevor sie Lohn- oder HR-Daten in die Cloud verlagern.

8 Min. Lesezeit

Kurz gefasst

Cloud-HR-Software ist nicht per se datenschutzrechtlich problematisch – aber die Einführung löst konkrete Prüfpflichten aus. Unterauftragnehmer-Ketten, Serverstandorte außerhalb des EWR, weitreichende Supportzugriffe und schlecht dokumentierte Schnittstellen können Risiken erzeugen, die beim Abschluss eines SaaS-Vertrags oft nicht offensichtlich sind. Wer die richtigen Fragen stellt und einen vollständigen Auftragsverarbeitungsvertrag (AVV) abschließt, schafft eine solide Grundlage.

Dieser Ratgeber ersetzt keine Rechtsberatung. Für eine verbindliche Einschätzung Ihrer konkreten Situation wenden Sie sich an einen Datenschutzbeauftragten oder Rechtsanwalt.

Warum Lohn- und HR-Daten besonders schützenswert sind

Lohn- und Personaldaten gehören zu den sensibelsten Informationen, die ein Unternehmen verarbeitet. Sie sind nicht nur wirtschaftlich brisant – sie können auch die Intimsphäre von Beschäftigten berühren.

Typischer Datenmix in der Lohnabrechnung:

  • Name, Geburtsdatum, Adresse, Staatsangehörigkeit
  • Steueridentifikationsnummer, Steuerklasse, Freibeträge
  • Sozialversicherungsnummer, Krankenkasse, Beitragsgruppen
  • IBAN, Netto- und Bruttolohn, Zulagen, Abzüge
  • Fehlzeiten (Urlaub, Krankheit, Elternzeit)
  • Ggf. Angaben zur Schwerbehinderung, Pfändungen oder betrieblicher Altersvorsorge

Einige dieser Kategorien fallen unter den besonderen Schutz von Art. 9 DSGVO – etwa Gesundheitsdaten, die sich aus Krankentagen oder Behinderungszuschlägen ergeben können. Das bedeutet erhöhte Anforderungen an Verarbeitung, Zugriffskontrolle und Dokumentation.

Eine Übersicht der datenschutzrechtlichen Grundlagen bietet der Ratgeber Lohnabrechnung und DSGVO.

Typische Cloud-Architekturen und was das datenschutzrechtlich bedeutet

„Cloud” ist kein einheitliches Konzept. Die datenschutzrechtliche Relevanz hängt stark davon ab, wie der Anbieter seine Infrastruktur aufgebaut hat.

Software as a Service (SaaS): Der Anbieter stellt die Anwendung vollständig über das Internet bereit, einschließlich Rechenleistung, Speicher und Datenbankbetrieb. Das Unternehmen hat keinen direkten Einfluss darauf, wo Daten physisch gespeichert werden – es sei denn, der Vertrag regelt das ausdrücklich.

Private Cloud / gehostetes Rechenzentrum: Die Software läuft auf dedizierten Servern in einem Rechenzentrum, das ggf. in Deutschland oder der EU liegt. Die Kontrolle über den Speicherort ist höher, aber Supportzugriffe von außen können dennoch bestehen.

Hybride Setups: Teile der Daten (z. B. Zeiterfassung) liegen in der Cloud, Lohnabrechnungsdaten werden lokal oder in einem gesonderten System verarbeitet. Schnittstellen zwischen beiden Welten sind ein eigenes Risikoelement.

Für alle Varianten gilt: Sobald ein externer Dienstleister personenbezogene Daten im Auftrag verarbeitet, liegt Auftragsverarbeitung nach Art. 28 DSGVO vor und ein AVV ist zwingend erforderlich. Wer das ohne einen solchen Vertrag betreibt, verstößt bereits unabhängig von tatsächlichen Datenschutzverletzungen gegen die DSGVO.

Weitere Grundlagen zum Serverstandort Deutschland lesen Sie im verlinkten Ratgeber.

Unterauftragnehmer: Das unsichtbare Drittparteiengeflecht

Ein SaaS-Anbieter betreibt seine Software selten vollständig selbst. In der Praxis kommen regelmäßig weitere Dienstleister zum Einsatz – etwa für Hosting (AWS, Azure, Google Cloud), E-Mail-Versand, Monitoring, Kundensupport-Ticketsysteme oder Backup-Speicherung. Jeder dieser Dienste kann eine eigene datenschutzrechtliche Relevanz haben.

Art. 28 Abs. 2 DSGVO schreibt vor, dass ein Auftragsverarbeiter weitere Auftragsverarbeiter (Sub-Auftragsverarbeiter oder „Unterauftragnehmer”) nur mit Genehmigung des Verantwortlichen einsetzen darf. In der Praxis erteilen viele Verträge eine allgemeine Vorab-Genehmigung für benannte oder auch unbenannte Sub-Auftragsverarbeiter – das ist grundsätzlich zulässig, setzt aber voraus, dass:

  • die genutzten Sub-Auftragsverarbeiter im AVV oder einer Anlage namentlich aufgeführt sind,
  • der Auftraggeber über Änderungen informiert wird und widersprechen kann,
  • alle Sub-Auftragsverarbeiter denselben Datenschutzstandards unterliegen.

In der Praxis prüft kaum ein Unternehmen diese Listen aktiv. Das kann ein Risiko sein – insbesondere wenn Sub-Auftragsverarbeiter ihren Sitz außerhalb der EU haben.

Drittlandbezug: Wenn Server oder Konzernmutter außerhalb des EWR liegen

Viele HR-Software-Anbieter haben eine US-amerikanische, britische oder asiatische Konzernmutter. Das kann – muss aber nicht – bedeuten, dass Lohndaten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) übermittelt werden. Art. 44 ff. DSGVO stellt für solche Transfers zusätzliche Anforderungen.

Ein Transfer in ein Drittland ist nicht automatisch verboten, er muss aber auf einer geeigneten Grundlage beruhen:

  • Angemessenheitsbeschluss der EU-Kommission (z. B. für bestimmte Länder wie Japan, Kanada mit Einschränkungen)
  • Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 DSGVO
  • Binding Corporate Rules bei konzerinternen Transfers

Nach dem Schrems-II-Urteil des EuGH (2020) reicht allein das Privacy-Shield-Abkommen mit den USA nicht mehr aus. Standardvertragsklauseln sind zwar grundsätzlich weiterhin nutzbar, erfordern aber eine Transfer Impact Assessment (TIA) im Einzelfall, die dokumentiert, ob das Recht des Drittlands den vereinbarten Schutz gefährdet.

Das klingt abstrakt, hat aber praktische Konsequenzen: Wenn der Hosting-Anbieter Ihrer HR-Software Rechenzentren in den USA betreibt und dort gesetzliche Auskunftspflichten gegenüber Behörden bestehen, kann das die Schutzwirkung von SCCs einschränken.

Für Unternehmen bedeutet das: Nachfragen, wo Daten liegen – und das schriftlich im AVV festhalten lassen. Mehr dazu im Artikel DSGVO-Lohnabrechnung.

Supportzugriffe und Wartungsfenster: Wer hat wann Zugriff auf die Daten?

Bei cloudbasierter HR-Software hat der Anbieter in der Regel technische Möglichkeiten, auf Produktivdaten zuzugreifen – zum Beispiel für Fehlersuche, Wartung oder Kundensupport. Das ist in vielen Fällen notwendig und legitim, sollte aber klar vertraglich geregelt sein.

Fragen, die im AVV oder in den technisch-organisatorischen Maßnahmen (TOMs) beantwortet sein sollten:

  • Unter welchen Bedingungen können Mitarbeitende des Anbieters auf Kundendaten zugreifen?
  • Ist ein Vier-Augen-Prinzip oder eine explizite Freigabe durch den Auftraggeber erforderlich?
  • Werden Zugriffe protokolliert, und kann der Auftraggeber diese Logs einsehen?
  • Welche Rollen beim Anbieter haben produktive Datenbankzugriffe?
  • Gilt das auch für externe Sub-Dienstleister, die Wartungsarbeiten übernehmen?

Supportzugriffe, die nicht dokumentiert und nicht auf das Notwendigste beschränkt sind, können den Grundsatz der Vertraulichkeit und Integrität (Art. 5 Abs. 1 lit. f DSGVO) gefährden. Das gilt besonders dann, wenn Supportteams in Ländern außerhalb der EU tätig sind – etwa in Support-Centern in Indien oder den Philippinen, die bei globalen Anbietern verbreitet sind.

Für die Lohnabrechnung im Outsourcing bei LOHN24 gilt: Kundendaten werden ausschließlich von Mitarbeitenden in Deutschland bearbeitet.

Logs, Backups und Schnittstellen: Weitere Datenschutzaspekte im Betrieb

Neben dem Kerndatensatz der Lohnabrechnung entstehen im laufenden Betrieb weitere Datenkategorien, die eigene datenschutzrechtliche Relevanz haben können.

Audit-Logs und Zugriffsprotokolle: Viele HR-Systeme protokollieren, wer wann welche Datensätze aufgerufen oder geändert hat. Diese Logs sind datenschutzrechtlich zweideutig: Einerseits sind sie sinnvoll für die Nachvollziehbarkeit und Compliance, andererseits enthalten sie selbst personenbezogene Daten (Benutzeraktionen). Wie lange werden Logs aufbewahrt? Wo liegen sie – und unterliegen sie denselben Schutzstandards wie die Primärdaten?

Backups: Backups sollten Lohndaten verschlüsselt, an einem sicheren Ort und mit klar definierten Wiederherstellungszeiten speichern. Wichtig: Backups können ein „Datengrab” werden, in dem gelöschte Daten länger als erlaubt erhalten bleiben. DSGVO-konforme Löschung muss auch Backups einschließen – was technisch aufwendig sein kann.

Schnittstellen zur Lohnabrechnung: HR-Software ist selten ein Inselsystem. Typische Schnittstellen verbinden es mit Zeiterfassungssystemen, ERP-Systemen, Buchhaltungssoftware oder externen Lohnabrechnungsdienstleistern. Jede Schnittstelle ist ein potenzieller Schwachpunkt: Wer empfängt die übermittelten Daten? Sind die Verbindungen verschlüsselt? Sind auch für Schnittstellen-Empfänger AVVs abgeschlossen?

Einen sicheren Überblick über den Ablauf bei externem Payroll Outsourcing bietet der verlinkten Ratgeber.

Prüfliste: Was Unternehmen vor dem Einsatz von Cloud-HR-Software klären sollten

Die folgende Liste gibt einen Einstiegspunkt – sie ersetzt keine vollständige Datenschutz-Folgenabschätzung und keine rechtliche Beratung.

  • Ist ein vollständiger Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO vorhanden, der Gegenstand, Dauer, Art, Zweck, Datenkategorien, TOMs, Sub-Auftragsverarbeiter und Löschpflichten regelt?
  • Sind alle Sub-Auftragsverarbeiter im AVV oder einer Anlage namentlich aufgeführt, und wird der Auftraggeber bei Änderungen informiert?
  • Wo liegen die Server und Datenbankinstanzen physisch – innerhalb oder außerhalb des EWR?
  • Gibt es Drittlandtransfers, und wenn ja: auf welcher Rechtsgrundlage (Angemessenheitsbeschluss, SCCs)?
  • Ist für Drittlandtransfers eine Transfer Impact Assessment (TIA) durchgeführt worden?
  • Unter welchen Bedingungen haben Anbieter-Mitarbeitende Zugriff auf Produktivdaten, und werden diese Zugriffe protokolliert?
  • Sind Supportteams ausschließlich in der EU/dem EWR tätig?
  • Wie sind Backups gesichert, wo liegen sie, und sind DSGVO-konforme Löschroutinen für Backup-Daten vorhanden?
  • Sind alle Schnittstellen zu anderen Systemen dokumentiert, und bestehen für die Schnittstellenempfänger ebenfalls AVVs?
  • Gibt es ein dokumentiertes Verfahren für Datenpannen (Incident Response), das die 72-Stunden-Meldefrist nach Art. 33 DSGVO einhalten kann?
  • Sind Zugriffsrollen im System klar definiert, und werden Rechte beim Ausscheiden von Mitarbeitenden sofort entzogen?
  • Sind Lohn- und HR-Daten durch Zwei-Faktor-Authentifizierung geschützt?

Einen weiterführenden Überblick zur DSGVO-konformen Lohnabrechnung finden Sie im Ratgeber Lohnabrechnung und DSGVO sowie unter DSGVO-Lohnabrechnung. Wenn Sie die Lohnabrechnung vollständig auslagern möchten, erfahren Sie mehr unter Payroll Outsourcing Deutschland oder direkt über Kunde werden.

Nächste Schritte

Kosten berechnenLohnabrechnung auslagernLOHN24 kennenlernenKontakt aufnehmen
Häufige Fragen

Antworten auf einen Blick

Nein. Cloud-Software ist nicht per se unzulässig oder problematisch. Die DSGVO schreibt keinen bestimmten Technologiestack vor. Entscheidend ist, dass die Verarbeitung auf einer Rechtsgrundlage beruht, ein AVV abgeschlossen ist, Sub-Auftragsverarbeiter transparent gemacht werden und etwaige Drittlandtransfers abgesichert sind. Cloud-Lösungen mit Serverstandort in Deutschland oder der EU und vollständigem AVV können datenschutzkonform betrieben werden.

Ein Auftragsverarbeitungsvertrag (AVV) ist das spezifische Instrument nach Art. 28 DSGVO, das die Verarbeitung personenbezogener Daten im Auftrag regelt. Er enthält u. a. den Verarbeitungsgegenstand, Zweck, Datenkategorien, technisch-organisatorische Maßnahmen (TOMs), Regelungen zu Sub-Auftragsverarbeitern und Löschpflichten. Ein allgemeiner „Datenschutzvertrag” ist kein Ersatz dafür. Achten Sie darauf, dass der Anbieter einen vollständigen AVV im Sinne von Art. 28 Abs. 3 DSGVO vorlegt.

Ja. Art. 28 DSGVO verlangt, dass Sub-Auftragsverarbeitungsverhältnisse transparent sind und der Auftraggeber zustimmt – entweder zu konkreten Sub-Auftragsverarbeitern oder zu einer vorab genehmigten Liste. Der Anbieter muss Sie über Änderungen informieren, sodass Sie die Möglichkeit haben, zu widersprechen. Prüfen Sie, ob Ihre AVV-Anlage eine aktuelle und vollständige Liste enthält.

Allein die Konzernzugehörigkeit zu einem US-Unternehmen bedeutet nicht, dass Daten in die USA übermittelt werden – das hängt von der konkreten Infrastruktur und internen Datenflüssen ab. Relevant wird es, wenn US-Gesellschaften tatsächlich Zugang zu europäischen Kundendaten haben (z. B. über Konzernsupport oder shared infrastructure). In diesem Fall sind Standardvertragsklauseln (SCCs) und eine Transfer Impact Assessment (TIA) erforderlich. Fragen Sie den Anbieter direkt nach konzerninternen Datenzugriffen.

Eine verbreitete Alternative ist das vollständige Outsourcing der Lohnabrechnung an einen spezialisierten Dienstleister, der die Abrechnung auf eigenen Systemen – idealerweise mit Serverstandort in Deutschland – durchführt und einen vollständigen AVV stellt. In diesem Modell entfällt die Notwendigkeit, selbst eine HR-Software datenschutzkonform zu betreiben. Mehr dazu unter [Lohnabrechnung Outsourcing](/leistungen/lohnabrechnung-outsourcing) und im [Payroll Management Center](/payroll-management-center).

Weiterlesen im Ratgeber
DatenschutzLohnabrechnung und DSGVOWarum Lohndaten besonders sensibel sind: Auftragsverarbeitung, Serverstandort, Zugriffsrechte, Prüffragen.DatenschutzLohnabrechnung mit Servern in DeutschlandWarum der Serverstandort wichtig ist – und warum er allein nicht reicht (AV-Vertrag, TOM, Mandantentrennung).
Kunde werden

Lohnabrechnung zum planbaren Festpreis

13 € pro Mitarbeiter und Monat, digitale Prozesse und feste Ansprechpartner. Fordern Sie ein unverbindliches Angebot an.

Jetzt Angebot anfordernKontakt aufnehmen