LOHN24
Ratgeber · Datenschutz

Lohnabrechnung mit Servern in Deutschland: Was wirklich zählt

Viele Unternehmen fragen beim Outsourcing der Lohnabrechnung als Erstes: „Liegen die Daten auf deutschen Servern?” Das ist eine gute Frage – aber keine vollständige. Dieser Ratgeber erklärt, was der Serverstandort bedeutet, warum er allein kein Datenschutz-Versprechen ist und auf welche weiteren Punkte es wirklich ankommt.

7 Min. Lesezeit

Kurz gefasst

Lohnabrechnungen enthalten hochsensible Daten: Gehälter, Bankverbindungen, Sozialversicherungsnummern, Krankheitszeiten. Kein Wunder, dass Unternehmen beim Outsourcing genau hinschauen wollen, wie und wo diese Daten verarbeitet werden.

Der Serverstandort Deutschland ist dabei ein verbreitetes Auswahlkriterium – und tatsächlich ein relevanter Faktor. Doch er ist nur einer von mehreren. Wer sich ausschließlich auf „deutsche Server” verlässt, übersieht schnell entscheidende Punkte wie den Auftragsverarbeitungsvertrag, technisch-organisatorische Maßnahmen oder die Frage, wer im Abrechnungsdienstleister überhaupt auf Ihre Daten zugreifen kann.

Warum der Serverstandort Deutschland ein relevanter Faktor ist

Die DSGVO regelt die Verarbeitung personenbezogener Daten für alle Unternehmen, die in der EU tätig sind. Grundsätzlich gilt: Daten dürfen innerhalb des Europäischen Wirtschaftsraums (EWR) frei verarbeitet werden – also nicht nur in Deutschland, sondern in jedem EU/EWR-Mitgliedstaat.

Dennoch gibt es gute Gründe, deutschen Serverstandorten den Vorzug zu geben:

  • Deutsches Datenschutzniveau: Das Bundesdatenschutzgesetz (BDSG) ergänzt die DSGVO mit zusätzlichen nationalen Vorgaben – etwa zum Beschäftigtendatenschutz, der für Lohndaten besonders relevant ist.
  • Keine Drittlandübermittlung: Bei US-amerikanischen oder anderen Nicht-EWR-Anbietern sind zusätzliche Übermittlungsgrundlagen (Standardvertragsklauseln, Angemessenheitsbeschlüsse) notwendig, was den Aufwand erhöht und Restrisiken mitbringt.
  • Behördlicher Zugriff: Bei Servern außerhalb der EU können ausländische Behörden unter Umständen auf Daten zugreifen – in Deutschland ist das durch klare Rechtsrahmen eingeschränkt.
  • Nachvollziehbarkeit: Bei einem Sicherheitsvorfall lässt sich der Vorgang mit einem deutschen Rechenzentrum einfacher in einem vertrauten Rechtsrahmen aufarbeiten.

Für Payroll-Outsourcing nach Deutschland spricht also einiges – aber der Standort allein entscheidet nicht darüber, ob Ihre Daten tatsächlich geschützt sind.

Warum der Serverstandort allein kein Datenschutz-Versprechen ist

Stellen Sie sich vor, ein Dienstleister betreibt seinen Server physisch in Frankfurt – aber überträgt Ihre Lohndaten per unverschlüsselter E-Mail, hat keine Zugriffsrechte definiert und schließt keinen Auftragsverarbeitungsvertrag. Der Serverstandort wäre korrekt; Ihre Daten wären trotzdem kaum geschützt.

Der Standort sagt nichts darüber aus:

  • wie Daten übertragen werden (verschlüsselt oder im Klartext),
  • wer innerhalb des Dienstleisters Zugriff auf Ihre Lohnzahlen hat,
  • ob Ihre Mandantendaten von denen anderer Kunden sauber getrennt sind,
  • welche vertraglichen Regelungen die Verarbeitung absichern.

Die DSGVO bewertet nicht, ob ein Server in München oder Mailand steht – sie bewertet Prozesse, Verträge und Schutzmaßnahmen. Deshalb sollten Sie bei der Auswahl eines Lohnabrechnung-Dienstleisters gezielt nach diesen Punkten fragen.

Der Auftragsverarbeitungsvertrag (AVV): Pflicht, keine Option

Sobald ein externes Unternehmen Lohndaten in Ihrem Auftrag verarbeitet, liegt datenschutzrechtlich eine Auftragsverarbeitung vor. Art. 28 DSGVO schreibt dann zwingend einen schriftlichen Auftragsverarbeitungsvertrag (AVV) vor – auch „Datenverarbeitungsvertrag” oder kurz „DV-Vertrag” genannt.

Der AVV legt unter anderem fest:

  • Gegenstand und Dauer der Verarbeitung,
  • Art und Zweck der verarbeiteten Daten (z. B. Gehaltsabrechnung, Meldewesen),
  • Pflichten und Rechte des Verantwortlichen (Ihres Unternehmens),
  • die Weisungsgebundenheit des Dienstleisters: Er darf die Daten nur so verwenden, wie Sie es vorgeben,
  • Löschpflichten nach Ende des Vertrags.

Ohne AVV handeln Sie als Unternehmen ordnungswidrig – unabhängig davon, ob der Dienstleister seinen Server in Deutschland betreibt oder nicht. Ein seriöser Lohnabrechnung-Dienstleister schließt den AVV standardmäßig und proaktiv ab. Fordern Sie ihn ein, bevor Sie Daten übergeben.

Mehr zu DSGVO-konformer Lohnabrechnung finden Sie in unserem DSGVO-Ratgeber.

Technische und organisatorische Maßnahmen (TOM): Was dahintersteckt

Art. 32 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter, „geeignete technische und organisatorische Maßnahmen” (TOM) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Bei der Lohnabrechnung bedeutet das konkret:

Technische Maßnahmen
- Transportverschlüsselung: Alle Datenübertragungen (Upload von Bewegungsdaten, Gehaltszettel-Download) erfolgen über TLS/HTTPS.
- Ruhende Verschlüsselung: Daten auf dem Server sind verschlüsselt gespeichert.
- Redundanz und Backup: Regelmäßige, geprüfte Sicherungen in getrennten Rechenzentren.
- Zugangssicherung: Mehr-Faktor-Authentifizierung für alle administrativen Zugänge.

Organisatorische Maßnahmen
- Berechtigungskonzept: Klare Regeln, wer welche Daten einsehen darf (Prinzip der minimalen Berechtigung).
- Schulungen: Regelmäßige Datenschutz-Schulungen für alle Mitarbeitenden mit Datenzugang.
- Incident-Response-Plan: Klares Verfahren für den Fall einer Datenpanne, inklusive 72-Stunden-Meldefrist an die Aufsichtsbehörde.
- Pseudonymisierung wo möglich.

Fragen Sie Ihren Dienstleister konkret nach seiner TOM-Dokumentation. Ein gut aufgestellter Anbieter kann diese auf Anfrage vorlegen.

Unterauftragnehmer: Wer hat noch Zugriff auf Ihre Lohndaten?

Viele Lohndienstleister nutzen ihrerseits externe Systeme – etwa Lohnabrechnungssoftware, Cloud-Hosting oder Backup-Dienste. Das ist prinzipiell zulässig, muss aber klar geregelt sein.

Art. 28 Abs. 2 DSGVO erlaubt die Weitergabe an Unterauftragnehmer nur, wenn:

  • der Auftraggeber (Ihr Unternehmen) vorab informiert wurde oder zugestimmt hat,
  • der Unterauftragnehmer seinerseits einen AVV mit dem Dienstleister abgeschlossen hat und mindestens dieselben Datenschutzpflichten erfüllt,
  • der Hauptdienstleister für den Unterauftragnehmer haftet.

Prüfen Sie im AVV, ob Unterauftragnehmer benannt sind und welche Länder involviert sind. Eine Lohnbuchhaltungssoftware, deren Server in den USA steht, kann auch bei einem deutschen Dienstleister eine Drittlandübermittlung begründen – mit allen Konsequenzen.

Siehe auch: HR-Software und Cloud-Lohnabrechnung aus DSGVO-Sicht.

Mandantentrennung und Zugriffsrechte: Ihre Daten gehören nur Ihnen

Ein Lohndienstleister verarbeitet die Daten vieler Unternehmen gleichzeitig. Umso wichtiger ist eine saubere Mandantentrennung: Jedes Unternehmen muss in einem logisch abgeschotteten Bereich liegen, auf den andere Mandanten keinen Zugriff haben – weder direkt noch über fehlkonfigurierte Systeme.

Auf Systemebene bedeutet das:

  • Separate Datenbankbereiche oder eigenständige Datenbankinstanzen je Mandant.
  • Keine gemeinsam genutzten Zugangsdaten zwischen Mandanten.
  • Protokollierung aller Datenzugriffe (wer hat wann auf welche Mandantendaten zugegriffen).

Auf Mitarbeiterebene im Dienstleistungsunternehmen sollte gelten:

  • Need-to-know-Prinzip: Jede Person sieht nur die Daten, die sie für ihre Aufgabe benötigt.
  • Klare Rollen und Berechtigungsstufen (z. B. Sachbearbeiter, Teamleitung, Administration).
  • Regelmäßige Überprüfung und Entzug von Berechtigungen bei Rollenwechsel oder Ausscheiden.

Das Payroll Management Center von LOHN24 ist entsprechend aufgebaut: Mandanten sind strikt getrennt, Zugriffe protokolliert und auf notwendige Personen beschränkt.

Sichere Portale statt E-Mail-Anhänge: Wie Lohndaten übermittelt werden sollten

E-Mail ist für den Versand von Lohnzetteln und Bewegungsdaten aus datenschutzrechtlicher Sicht problematisch. Standardmäßig werden E-Mails unverschlüsselt übertragen, landen auf Mailservern außerhalb Ihrer Kontrolle und lassen sich schwer auf Zustellungsnachweis oder unbefugten Zugriff prüfen.

Ein zeitgemäßer Lohndienstleister bietet stattdessen:

  • Verschlüsselte Mandantenportale: Alle Dateiübergaben (Bewegungsdaten rein, Gehaltszettel raus) erfolgen über ein gesichertes Web-Portal mit individuellem Login.
  • Rollenbasierter Portalzugang: Geschäftsführung, HR und Mitarbeitende können jeweils nur ihre eigenen Dokumente einsehen.
  • Digitale Gehaltszettel: Mitarbeitende rufen ihre Lohnabrechnung direkt aus dem Portal ab – ohne E-Mail-Anhang, ohne Papier.
  • Audit-Trail: Alle Aktionen im Portal werden protokolliert, sodass jederzeit nachvollziehbar ist, wer wann welches Dokument abgerufen hat.

Diese Infrastruktur schützt nicht nur Ihre Daten, sondern erleichtert auch den Nachweis datenschutzkonformer Prozesse gegenüber dem Betriebsrat oder einer Aufsichtsbehörde. Mehr dazu auf unserer DSGVO-Übersichtsseite und unter Kunde werden.

Nächste Schritte

Kosten berechnenLohnabrechnung auslagernLOHN24 kennenlernenKontakt aufnehmen
Häufige Fragen

Antworten auf einen Blick

Nein – die DSGVO erlaubt die Verarbeitung in allen EU/EWR-Ländern ohne zusätzliche Voraussetzungen. Eine Pflicht zu deutschen Servern gibt es nicht. Dennoch hat der Standort Deutschland praktische Vorteile: Das Bundesdatenschutzgesetz enthält nationale Ergänzungen, und Sie vermeiden Drittlandübermittlungen mit ihren zusätzlichen Anforderungen. Entscheidend bleibt aber die Qualität der Schutzmaßnahmen – Serverstandort allein ersetzt keinen AVV und keine TOM. Mehr dazu im Ratgeber [DSGVO und Lohnabrechnung](/ratgeber/lohnabrechnung-dsgvo).

Ohne AVV liegt eine datenschutzrechtlich unzulässige Datenübermittlung vor. Das verantwortliche Unternehmen – also Sie als Auftraggeber – trägt das Haftungsrisiko, nicht nur der Dienstleister. Datenschutzbehörden können Bußgelder verhängen. Schließen Sie den AVV daher immer **vor** der ersten Datenübermittlung ab. Ein seriöser Dienstleister stellt diesen Vertrag proaktiv zur Verfügung.

Fragen Sie konkret nach der TOM-Dokumentation gemäß Art. 32 DSGVO. Ein professioneller Anbieter kann diese auf Anfrage vorlegen. Achten Sie auf Transportverschlüsselung, Backup-Konzepte, Zugangskontrollen und ein dokumentiertes Incident-Response-Verfahren. Zertifizierungen wie ISO 27001 oder ITSG-Zertifizierung sind zusätzliche Indizien für ein strukturiertes Sicherheitsmanagement. Schauen Sie auch, welche [HR-Software und Cloud-Lösungen](/ratgeber/hr-software-cloud-lohnabrechnung-dsgvo) der Dienstleister einsetzt.

Grundsätzlich ja, aber nur unter strengen Bedingungen: Sie müssen als Auftraggeber vorab informiert worden sein (im AVV benannt oder per allgemeiner Genehmigung mit Widerspruchsrecht), der Unterauftragnehmer muss seinerseits einen AVV mit dem Hauptdienstleister haben, und bei Übermittlungen außerhalb des EWR braucht es eine anerkannte Übermittlungsgrundlage. Lassen Sie sich die Liste der Unterauftragnehmer und deren Serverstandorte zeigen.

LOHN24 arbeitet mit transparenten Festpreisen – beispielsweise ab 13 € je Abrechnung für reguläre Lohnabrechnung bzw. 18 € für Baulohn. Alle Leistungen sind im Preis enthalten; es gibt keine versteckten Zusatzkosten. Der Einstieg ist unkompliziert: Nach einem unverbindlichen Erstgespräch erhalten Sie ein konkretes Angebot, wir schließen den AVV ab und übernehmen die Datenmigration. Alle Server stehen in Deutschland, das Portal ist verschlüsselt, und Sie erhalten eine persönliche Ansprechperson. Details finden Sie unter [Leistungen Lohnabrechnung-Outsourcing](/leistungen/lohnabrechnung-outsourcing) und im [Glossar Datenschutz](/glossar/datenschutz). Bereit zum Starten? [Jetzt Kunde werden](/kunde-werden).

Weiterlesen im Ratgeber
DatenschutzLohnabrechnung und DSGVOWarum Lohndaten besonders sensibel sind: Auftragsverarbeitung, Serverstandort, Zugriffsrechte, Prüffragen.DatenschutzHR-Software, Cloud und Lohnabrechnung: Wo liegen die Risiken?Cloud-Risiken, Unterauftragnehmer, Drittlandbezug – was Unternehmen bei HR-Software prüfen sollten.
Kunde werden

Lohnabrechnung zum planbaren Festpreis

13 € pro Mitarbeiter und Monat, digitale Prozesse und feste Ansprechpartner. Fordern Sie ein unverbindliches Angebot an.

Jetzt Angebot anfordernKontakt aufnehmen