LOHN24
Ratgeber · Datenschutz

Lohnabrechnung und DSGVO: Was Unternehmen beachten müssen

Gehaltsdaten, Bankverbindungen, Krankmeldungen – die Lohnabrechnung berührt die sensibelsten Personaldaten im Unternehmen. Dieser Ratgeber erklärt, welche DSGVO-Pflichten für Arbeitgeber gelten, worauf bei der Wahl eines Dienstleisters zu achten ist und welche praktischen Fragen Sie sich und Ihren Payroll-Anbieter stellen sollten.

8 Min. Lesezeit

Kurz gefasst

Die DSGVO gilt für die Lohnabrechnung ohne Ausnahme. Arbeitgeber sind verantwortliche Stellen und müssen sicherstellen, dass Beschäftigtendaten nur zweckgebunden, in minimalem Umfang und mit geeigneten technisch-organisatorischen Maßnahmen verarbeitet werden. Wer die Lohnabrechnung outsourct, benötigt zwingend einen Auftragsverarbeitungsvertrag (AVV). Serverstandort, Zugriffskonzepte und Löschfristen sind keine Details, sondern Kernbestandteile einer datenschutzkonformen Payroll.

Dieser Ratgeber ersetzt keine Rechtsberatung. Für verbindliche Einschätzungen zu Ihrer konkreten Situation wenden Sie sich an einen Datenschutzbeauftragten oder Rechtsanwalt.

Warum Lohndaten besonders sensibel sind

Lohnabrechnungen enthalten eine Dichte personenbezogener Informationen, die in kaum einem anderen Geschäftsprozess so komprimiert vorkommen: Vollständiger Name, Adresse, Steueridentifikationsnummer, Steuerklasse, Sozialversicherungsnummer, IBAN, Beschäftigungsart, Lohngruppe, Elterngeld-relevante Einkommensdaten und – bei bestimmten Abzügen oder Zuschlägen – indirekt auch Gesundheitsinformationen.

Einige dieser Kategorien stuft die DSGVO als besonders schutzwürdige Daten ein (Art. 9 DSGVO), etwa Informationen über eine Schwerbehinderung, die sich im Lohnkonto widerspiegeln kann. Das erhöht die Anforderungen an Verarbeitung und Schutz erheblich.

Für Arbeitgeber bedeutet das: Jede Stelle im Payroll-Prozess, die Zugang zu diesen Daten hat – intern wie extern –, muss klar berechtigt und dokumentiert sein. Weitere Grundlagen zum Thema finden Sie in unserem Glossareintrag Datenschutz.

Beschäftigtendaten: Was im Rahmen der Lohnabrechnung verarbeitet wird

§ 26 BDSG erlaubt die Verarbeitung von Beschäftigtendaten, soweit sie zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Die Lohnabrechnung fällt klar darunter – der Grundsatz der Datensparsamkeit (Art. 5 DSGVO) verlangt aber, dass nur wirklich notwendige Daten erhoben und weitergegeben werden.

Typische Datenkategorien in der Lohnabrechnung:

  • Stammdaten (Name, Geburtsdatum, Adresse, Staatsangehörigkeit)
  • Steuerliche Daten (IdNr., Steuerklasse, Freibeträge via ELSTAM)
  • Sozialversicherungsdaten (SV-Nummer, Krankenkasse, Beitragsgruppen)
  • Vergütungsdaten (Bruttolohn, Zulagen, Abzüge, Nettolohn, IBAN)
  • Fehlzeiten (Urlaub, Krankheit, Elternzeit)
  • Ggf. Pfändungsdaten oder betriebliche Altersvorsorge-Verträge

Jede Erweiterung über den tatsächlichen Bedarf hinaus ist rechtfertigungspflichtig. Unternehmen sollten regelmäßig prüfen, ob alle gespeicherten Felder wirklich benötigt werden.

Mehr zu den Grundlagen eines sicheren Payroll-Setups lesen Sie unter DSGVO-Lohnabrechnung.

Auftragsverarbeitung (AVV): Die vertragliche Pflicht beim Outsourcing

Sobald ein externer Dienstleister Lohnabrechnungen erstellt, liegt Auftragsverarbeitung im Sinne von Art. 28 DSGVO vor. Der Arbeitgeber bleibt verantwortliche Stelle – der Dienstleister verarbeitet die Daten nur in dessen Auftrag und nach dessen Weisungen.

Ein schriftlicher Auftragsverarbeitungsvertrag (AVV) ist gesetzlich vorgeschrieben. Er muss unter anderem regeln:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der verarbeiteten Daten
  • Technisch-organisatorische Maßnahmen (TOM)
  • Unterauftragsverhältnisse (Sub-Auftragsverarbeiter)
  • Löschpflichten nach Vertragsende
  • Audit- und Weisungsrechte des Auftraggebers

Fehlt ein AVV oder ist er unvollständig, stellt das selbst einen Datenschutzverstoß dar – unabhängig davon, ob tatsächlich Daten missbräuchlich verwendet wurden.

Bei LOHN24 wird der AVV standardmäßig vor dem Start der Zusammenarbeit abgeschlossen. Alle Daten werden ausschließlich nach den Weisungen Ihres Unternehmens verarbeitet, und die Vereinbarung enthält vollständige Angaben zu TOMs und Unterauftragsverhältnissen.

Weitere Informationen zum Ablauf eines Outsourcing-Mandats finden Sie unter Payroll Outsourcing Deutschland.

Serverstandort und Drittlandtransfers: Wo liegen die Daten?

Die DSGVO gilt für alle Verarbeitungen im Europäischen Wirtschaftsraum (EWR). Werden Daten in Länder außerhalb des EWR übermittelt – etwa in die USA –, gelten zusätzliche Anforderungen nach Art. 44 ff. DSGVO. Solche Transfers können zulässig sein, wenn geeignete Garantien vorliegen (z. B. Standardvertragsklauseln), sollten aber sorgfältig geprüft werden.

Wer Lohnabrechnungen über Cloud-Software eines Anbieters mit US-Konzernmutter erstellt, sollte konkret nachfragen:

  • Wo werden die Daten physisch gespeichert?
  • Gibt es Sub-Auftragsverarbeiter mit Serverstandort außerhalb des EWR?
  • Welche Garantien nach Art. 46 DSGVO sind vorhanden?
  • Ist ein Datenschutz-Impact-Assessment (DSFA) erforderlich?

Dieser Themenkomplex ist rechtlich komplex; eine abschließende Bewertung ist nur im Einzelfall durch einen Datenschutzbeauftragten möglich.

Bei LOHN24 werden alle Lohndaten ausschließlich auf Servern in Deutschland verarbeitet und gespeichert. Es findet kein Transfer in Drittländer statt. Details dazu erklärt der Artikel Lohnabrechnung Server Deutschland.

E-Mail-Versand, PDFs und Zustellwege: Wie gelangen Abrechnungen zum Mitarbeitenden?

Ein häufig unterschätztes Datenschutzthema ist der Versandweg der Gehaltsabrechnung. Lohnzettel per unverschlüsselter E-Mail zu versenden gilt als problematisch, weil die Vertraulichkeit dabei nicht gewährleistet ist – der Standardversand ohne Ende-zu-Ende-Verschlüsselung oder Transport-Layer-Security (TLS) kann von Dritten mitgelesen werden.

Empfohlene Alternativen:

  • Mitarbeiterportal mit Login: Abrechnungen werden im passwortgeschützten Self-Service-Portal bereitgestellt.
  • Verschlüsselter E-Mail-Versand: Nur wenn TLS oder S/MIME auf beiden Seiten gesichert ist.
  • Papier per Post: Nach wie vor datenschutzrechtlich unbedenklich, wenn der Umschlag verschlossen ist.

Unternehmen sollten im AVV und in ihrer Verfahrensdokumentation festhalten, welchen Zustellweg sie nutzen und welche Schutzmaßnahmen dabei gelten.

Im Payroll Management Center von LOHN24 stehen Mitarbeitenden ihre Abrechnungen sicher und verschlüsselt bereit – ohne E-Mail-Versand sensibler Dokumente.

HR-Software und Zugriffsrechte: Wer darf was sehen?

Das Prinzip der Datenzugriffsbeschränkung (Art. 5 Abs. 1 lit. f DSGVO) verlangt, dass Lohndaten nur denjenigen Personen zugänglich sind, die sie für ihre Aufgaben tatsächlich benötigen. In der Praxis wird das häufig vernachlässigt: Systemadministratoren, Bereichsleiter oder externe IT-Dienstleister haben manchmal weitreichenden Datenzugriff ohne klare Rechtsgrundlage.

Prüffragen für Ihr Zugriffskonzept:

  • Welche Benutzerrollen sind in Ihrer Lohnbuchhaltungs-Software definiert?
  • Kann eine Führungskraft die Gehaltsdaten ihrer Mitarbeitenden einsehen?
  • Haben externe IT-Dienstleister Zugang zu Produktivdaten?
  • Werden Zugriffsrechte beim Ausscheiden von Mitarbeitenden sofort entzogen?
  • Ist der Zugriff durch Zwei-Faktor-Authentifizierung gesichert?
  • Werden Zugriffsprotokolle aufgezeichnet und wie lange aufbewahrt?
  • Ist für eingesetzte Cloud-HR-Software ein AVV abgeschlossen?

Gerade beim Einsatz von Cloud-basierter HR-Software für die Lohnabrechnung sollten diese Punkte vor der Einführung geprüft werden – nicht erst bei einem Audit.

Aufbewahrung, Löschfristen und Datenschutzverletzungen

Lohnunterlagen unterliegen gesetzlichen Aufbewahrungsfristen: Lohnkonten und Unterlagen, die für die Lohnsteuer relevant sind, müssen in der Regel sechs Jahre aufbewahrt werden (§ 41 Abs. 1 EStG), lohnrelevante Belege mit handelsrechtlicher Bedeutung oft zehn Jahre (§ 257 HGB). Danach gilt das DSGVO-Gebot der Datenlöschung (Art. 17 DSGVO): Daten, die nicht mehr benötigt werden, sind zu löschen oder zu sperren.

In der Praxis bedeutet das:

  • Aufbewahrungsfristen müssen je Datenkategorie dokumentiert sein.
  • Automatische Löschroutinen oder Erinnerungsprozesse helfen, Fristen einzuhalten.
  • Nach Vertragsende mit einem Dienstleister müssen Daten gelöscht und die Löschung bestätigt werden.

Datenschutzverletzungen (Art. 33 DSGVO) – etwa ein versehentlich an die falsche Person gesendeter Lohnzettel oder ein Hackerangriff auf Lohndaten – müssen der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden, sofern ein Risiko für die betroffenen Personen besteht. Interne Meldewege und ein Reaktionsplan sollten deshalb vorab definiert sein.

Bei einem externen Payroll-Dienstleister wie LOHN24 regelt der AVV auch den Umgang mit Datenpannen, einschließlich der unverzüglichen Benachrichtigungspflicht des Auftraggebers. Für einen vollständigen Überblick über den Einstieg empfiehlt sich der Artikel Kunde werden.

Nächste Schritte

Kosten berechnenLohnabrechnung auslagernLOHN24 kennenlernenKontakt aufnehmen
Häufige Fragen

Antworten auf einen Blick

Ja. Auch Steuerberater sind Auftragsverarbeiter im Sinne von Art. 28 DSGVO, wenn sie Lohnabrechnungen für Sie erstellen. Ein schriftlicher AVV ist erforderlich. Manche Steuerberaterkammern stellen Musterverträge zur Verfügung, die als Ausgangspunkt dienen können – sie sollten jedoch auf Ihren konkreten Fall angepasst werden.

Unverschlüsselte E-Mails bieten keinen ausreichenden Schutz für sensible Lohndaten. Es ist empfehlenswert, auf ein passwortgeschütztes Mitarbeiterportal oder zumindest auf gesicherte Transportverschlüsselung (TLS) zu setzen. Ob der Versand im Einzelfall zulässig ist, hängt von den getroffenen Schutzmaßnahmen und der unternehmensinternen Risikoabwägung ab.

Für Lohnkonten und steuerrelevante Unterlagen gilt nach § 41 EStG grundsätzlich eine Aufbewahrungsfrist von sechs Jahren. Für Unterlagen mit handelsrechtlicher Relevanz nach § 257 HGB gilt in der Regel eine Frist von zehn Jahren. Nach Ablauf der Fristen sind die Daten zu löschen, sofern keine anderen gesetzlichen Aufbewahrungspflichten bestehen. Ihre konkrete Situation sollte mit einem Steuerberater oder Datenschutzbeauftragten abgestimmt werden.

Wenn bei einer Datenschutzverletzung – etwa dem versehentlichen Versand einer Lohnabrechnung an die falsche Person – ein Risiko für die betroffenen Mitarbeitenden besteht, muss die zuständige Datenschutzaufsichtsbehörde nach Art. 33 DSGVO innerhalb von 72 Stunden informiert werden. Bei hohem Risiko müssen auch die betroffenen Personen selbst benachrichtigt werden (Art. 34 DSGVO). Dokumentieren Sie Vorfälle in jedem Fall intern.

Fragen Sie konkret: Wo liegen die Server physisch? Gibt es Sub-Auftragsverarbeiter und wo sind diese ansässig? Wird ein vollständiger AVV nach Art. 28 DSGVO angeboten? Welche technisch-organisatorischen Maßnahmen (TOMs) sind dokumentiert? Wie werden Datenpannen gemeldet? Wie und wann werden Daten nach Vertragsende gelöscht? Ein seriöser Anbieter beantwortet diese Fragen transparent und schriftlich. Vergleiche dazu auch den Ratgeber [HR-Software und DSGVO in der Cloud](/ratgeber/hr-software-cloud-lohnabrechnung-dsgvo).

Weiterlesen im Ratgeber
DatenschutzHR-Software, Cloud und Lohnabrechnung: Wo liegen die Risiken?Cloud-Risiken, Unterauftragnehmer, Drittlandbezug – was Unternehmen bei HR-Software prüfen sollten.DatenschutzLohnabrechnung mit Servern in DeutschlandWarum der Serverstandort wichtig ist – und warum er allein nicht reicht (AV-Vertrag, TOM, Mandantentrennung).
Kunde werden

Lohnabrechnung zum planbaren Festpreis

13 € pro Mitarbeiter und Monat, digitale Prozesse und feste Ansprechpartner. Fordern Sie ein unverbindliches Angebot an.

Jetzt Angebot anfordernKontakt aufnehmen