DSGVO Lohnabrechnung — Was Arbeitgeber wissen und umsetzen müssen

Von David Schulte-Herbrüggen · Datenschutz & Compliance

Die Lohnabrechnung verarbeitet die sensibelsten Daten, die ein Arbeitgeber kennt: Gehälter, Krankheitszeiten, Religionszugehörigkeit, Bankverbindungen. Das DSGVO-Regelwerk dafür ist komplex, aber überschaubar. § 26 BDSG liefert die Rechtsgrundlage, Art. 28 regelt externe Dienstleister, Art. 32 schreibt technische Schutzmaßnahmen vor.

Wer die Lohnabrechnung auslagert, braucht fast immer einen Auftragsverarbeitungsvertrag und muss prüfen, ob der Anbieter Daten in die USA überträgt. Was das konkret bedeutet, steht auf dieser Seite.

Welche Daten die Lohnabrechnung verarbeitet

Die Lohnabrechnung ist datenschutzrechtlich kein Randthema. Sie verarbeitet systematisch personenbezogene Daten aller Beschäftigten, und darunter befinden sich Daten, die Art. 9 DSGVO als besondere Kategorie einstuft und mit erhöhtem Schutz belegt.

Jede Lohnabrechnung enthält persönliche Stammdaten (Name, Anschrift, Geburtsdatum, Familienstand), steuerliche Daten (Steuerklasse, Steueridentifikationsnummer, Freibäge), die Bankverbindung für die Auszahlung, Sozialversicherungsdaten (SV-Nummer, Krankenkasse, Beitragsgruppen) sowie Beschäftigungsdaten wie Eintrittsdatum, Wochenstunden und Entgeltgruppe.

Dazu kommen besondere Kategorien nach Art. 9 DSGVO, die strengere Anforderungen auslösen. Die Religionszugehörigkeit ist über die Kirchensteuer-Abführung erkennbar, datenschutzrechtlich sensibel, weil Weltanschauung direkt betroffen ist. Gesundheitsdaten entstehen durch Krankheitszeiten, Mutterschutz, Elternzeit und Schwerbehindertenstatus. In Tarifbetrieben kann auch die Gewerkschaftszugehörigkeit relevant sein, wenn Tarife oder Beitragsabführungen per Lohnabzug davon abhängen.

Weil diese Art. 9-Daten verarbeitet werden, gelten höhere Anforderungen an Sicherheitsmaßnahmen, Zugriffsbeschränkungen und Dokumentation als bei normalen Personaldaten.

Rechtsgrundlagen — § 26 BDSG, Art. 6 und Art. 9 DSGVO

Die Lohnabrechnung braucht keine Einwilligung der Beschäftigten. Mehrere Rechtsnormen erlauben die Datenverarbeitung ohne sie.

§ 26 Abs. 1 S. 1 BDSG ist die zentrale Norm für Beschäftigtendaten. Datenverarbeitung ist zulässig, wenn sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Die Entlohnung ist die arbeitsvertragliche Hauptpflicht, ihre Berechnung und Auszahlung damit ohne Weiteres gedeckt.

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) kommen ergänzend zum Tragen. Die Abführung von Lohnsteuer und Sozialversicherungsbeiträgen ist gesetzlich vorgeschrieben und braucht keine Rechtfertigung über eine Einwilligung.

§ 26 Abs. 3 BDSG erlaubt die Verarbeitung besonderer Kategorien nach Art. 9 DSGVO, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist. Kirchensteuer und Entgeltfortzahlung sind klassische Anwendungsfälle.

Was die Einwilligung nicht löst: Manche Arbeitgeber lassen Beschäftigte Einwilligungen zur Datenverarbeitung unterschreiben. Das ist in der Regel überflüssig und kann sogar problematisch sein. Eine Einwilligung ist freiwillig und kann widerrufen werden. Wer sich auf eine Einwilligung für die Pflicht-Lohnabrechnung stützt, verliert die Rechtsgrundlage, wenn der Beschäftigte widerruft, obwohl die Verarbeitung weiterhin nötig ist. § 26 BDSG ist die robustere Grundlage.

Abgrenzung zu § 26 Abs. 2 BDSG: Wenn der Arbeitgeber Daten für Zwecke verarbeitet, die über das unmittelbar für das Beschäftigungsverhältnis Erforderliche hinausgehen, zum Beispiel für Auswertungen zu Krankenquoten oder Überstunden-Analysen, greift § 26 Abs. 1 nicht mehr ohne Weiteres. Für solche Sekundärzwecke braucht es entweder eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO oder eine Einwilligung. Was für die Abrechnung nötig ist, ist nicht automatisch auch für interne HR-Analytics erlaubt.

Auftragsverarbeitung Art. 28 — wann ein AVV Pflicht ist

Wenn ein externer Dienstleister Lohnabrechnungen erstellt, verarbeitet er personenbezogene Daten im Auftrag des Arbeitgebers. Der Arbeitgeber bleibt datenschutzrechtlich Verantwortlicher, er gibt nur die operative Arbeit weiter, nicht die Verantwortung.

Ein AVV ist grundsätzlich immer Pflicht, wenn ein externer Dienstleister nach Weisung des Arbeitgebers Lohndaten verarbeitet. Das gilt für Lohnbüros, Payroll-Dienstleister und SaaS-Lösungen gleichermaßen. Ausnahme: Steuerberater gelten als eigene Verantwortliche nach § 57 StBerG und benötigen keinen AVV.

Was ein AVV enthalten muss: Art. 28 Abs. 3 DSGVO schreibt zehn Pflichtinhalte vor. Gegenstand, Dauer und Zweck der Verarbeitung; Art der Daten und Kategorien betroffener Personen; Weisungsbindung des Dienstleisters; Vertraulichkeitsverpflichtung; technische und organisatorische Maßnahmen; Regelung zu Unterauftragsverarbeitern; Unterstützungspflichten bei Betroffenenrechten und Datenpannen; Löschung oder Rückgabe der Daten bei Vertragsende.

Ohne gültigen AVV drohen Bußgelder bis 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 DSGVO, dazu mögliche Schadensersatzansprüche betroffener Beschäftigter nach Art. 82 DSGVO.

Technische und organisatorische Maßnahmen (Art. 32 DSGVO)

Art. 32 DSGVO verpflichtet jeden, der personenbezogene Daten verarbeitet, zu Schutzmaßnahmen, die dem Risiko der Verarbeitung angemessen sind. Bei Lohndaten mit Gehaltsstrukturen, Krankheitszeiten und Bankverbindungen ist das Risikopotenzial erheblich.

Das Berechtigungskonzept ist das wichtigste Werkzeug: Nur Personen mit konkretem Bedarf erhalten Zugriff auf Lohndaten. Die Zugriffsrollen werden schriftlich dokumentiert und regelmäßig überprüft.

Verschlüsselung schützt die Daten in zwei Zuständen: at rest (auf Festplatten und in Datenbanken) und in transit (beim Übertragen über Netzwerke). TLS für alle Web-Übertragungen, AES-256 für gespeicherte Daten ist Stand der Technik.

Protokollierung ist bei Datenpannen unverzichtbar: Wer hat wann auf welche Lohndaten zugegriffen und was geändert? Backups nach der 3-2-1-Regel (3 Kopien, 2 Medien, 1 Off-Site) mit regelmäßigen Wiederherstellungstests.

Art. 32 Abs. 4 DSGVO verlangt außerdem, dass alle Personen mit Zugang zu Lohndaten angewiesen und geschult sind. Einmaliges Onboarding reicht nicht, jährliche Auffrischung ist empfohlen.

Als Arbeitgeber müssen Sie vor Beauftragung eines externen Lohndienstleisters dessen TOMs prüfen und dokumentieren. Das geschieht über eine TOM-Dokumentation des Dienstleisters und ergänzende Fragen im Rahmen des AVV-Abschlusses. Diese Prüfung ist keine einmalige Sache: Art. 28 Abs. 3 lit. h DSGVO verpflichtet Sie, die Einhaltung der TOMs auch während der laufenden Zusammenarbeit zu kontrollieren. In der Praxis bedeutet das mindestens eine jährliche Überprüfung.

Aufbewahrung und Löschung — konkrete Fristen

Art. 5 Abs. 1 lit. e DSGVO (Speicherbegrenzung) und Art. 17 DSGVO (Recht auf Löschung) schaffen eine Löschpflicht nach Ablauf des Verarbeitungszwecks. Das gilt auch im Arbeitsverhältnis, aber erst wenn gesetzliche Aufbewahrungsfristen abgelaufen sind.

DokumenttypFristRechtsgrundlage
Lohnkonto, Gehaltsabrechnungen6 Jahre§ 41 EStG
Lohnsteueranmeldungen10 Jahre§ 147 AO
SV-Beitragsnachweise & Meldungen10 Jahre§ 28f SGB IV
Reisekostenabrechnungen10 Jahre§ 147 AO
Arbeitsverträge3 Jahre nach Ende§ 195 BGB
Arbeitszeitnachweise2 Jahre§ 16 ArbZG
Bewerbungsunterlagen (abgelehnt)6 Monate§ 15 AGG
bAV-Unterlagen (Versorgungszusagen)30 Jahre§ 18a BetrAVG

Faustregel: Lohnrelevante Unterlagen 10 Jahre aufbewahren, weil Lohnsteueranmeldungen und SV-Meldungen die längste gesetzliche Pflichtfrist bestimmen. Nach Ablauf entsteht aktive Löschpflicht, passives Liegenlassen reicht nicht. Beim Dienstleisterwechsel: Datenlöschung beim alten Anbieter mit Frist und Löschbescheinigung im AVV vereinbaren.

Dienstleister prüfen — 8-Punkte-Checkliste

Wer die Lohnabrechnung auslagert, überträgt den größten Datenschatz des Unternehmens an einen Dritten. Art. 28 Abs. 1 DSGVO verlangt ausdrücklich, dass der Verantwortliche nur Auftragsverarbeiter einsetzt, die hinreichende Garantien für die Datensicherheit bieten.

  1. Serverstandort Deutschland oder EU ohne Drittlandtransfer. Explizit im AVV festschreiben.
  2. AVV mit allen zehn Pflichtinhalten nach Art. 28 Abs. 3 DSGVO. Ein Muster-AVV aus dem Internet ist kein Ersatz für einen auf den konkreten Leistungsumfang zugeschnittenen Vertrag.
  3. TOM-Dokumentation vorlegen lassen, maximal 12 Monate alt. Zugangskontrolle, Zugriffskontrolle, Verschlüsselung und Protokollierung müssen beschrieben sein.
  4. Unterauftragsverarbeiter vollständig aufgelistet. Jeder Unterauftragsverarbeiter muss im AVV genehmigt sein. US-Anbieter bei Cloud-Diensten genau prüfen.
  5. Transfer Impact Assessment für US-Komponenten. Sobald ein Unterauftragsverarbeiter US-amerikanisch ist, ist ein TIA erforderlich.
  6. Datenlöschung bei Vertragsende mit Frist und Nachweis. Löschbescheinigung im AVV vereinbaren.
  7. Meldepflicht bei Datenpannen nach Art. 33/34 DSGVO. Der Dienstleister muss Pannen unverzüglich melden, damit die 72-Stunden-Meldefrist an die Aufsichtsbehörde gehalten werden kann.
  8. Zertifizierungen oder externe Prüfberichte als Qualitätsnachweis. ISO 27001, BSI C5 oder ISAE 3402 bedeuten unabhängige Prüfung der Sicherheitsmaßnahmen.

US-Cloud und Schrems II — das unterschätzte Risiko

Viele Lohnabrechnung-Softwareanbieter und Payroll-Dienstleister nutzen US-amerikanische Cloud-Infrastruktur, auch wenn die Server physisch in Europa stehen. Das ist seit dem Schrems-II-Urteil des EuGH (C-311/18, Juli 2020) ein ernsthaftes Problem.

Das Urteil erklärte das EU-US Privacy Shield für ungültig. Seitdem sind Standardvertragsklauseln (SCC) das wichtigste Instrument für Drittlandtransfers, aber nur dann wirksam, wenn das Zielland tatsächlich ein angemessenes Schutzniveau bietet.

Der US CLOUD Act verpflichtet US-Unternehmen, Daten an US-Behörden herauszugeben, auch wenn die Server in Deutschland stehen. Ein Lohndienstleister, der AWS, Google Cloud oder Microsoft Azure einsetzt, kann trotz EU-Server unter CLOUD-Act-Zugriff stehen. Das ist kein hypothetisches Szenario, sondern der Gegenstand laufender Datenschutzbehörden-Entscheidungen.

Wer US-Cloud-Anbieter einsetzt, braucht ein Transfer Impact Assessment (TIA): eine dokumentierte Analyse, warum das Schutzniveau trotzdem ausreichend ist.

Die einfachere Lösung: Anbieter, die ausschließlich auf europäischen Servern ohne US-Muttergesellschaft betreiben, sind Schrems-II-sicher ohne TIA-Aufwand. Serverstandort und Konzernstruktur gehören daher in jede Dienstleister-Ausschreibung. Ein Punkt, der in der Praxis oft übersehen wird: Auch wenn ein Anbieter seinen Hauptserver in Frankfurt hat, können einzelne Support-Systeme oder Ticketing-Tools aus dem US-Konzernverbund stammen. Fragen Sie nach einer vollständigen Liste der Unterauftragsverarbeiter.

Wie Payroll Fuchs DSGVO-konform arbeitet

Payroll Fuchs verarbeitet Lohndaten ausschließlich auf deutschen Servern. Keine US-Cloud, kein Drittlandtransfer, kein TIA-Aufwand.

Die technische Basis ist DATEV Lohn & Gehalt, ein deutsches Genossenschaftsunternehmen ohne US-Muttergesellschaft. Alle Datenverarbeitungen bleiben auf deutschen Rechenzentren beschränkt.

Bei Auftragserteilung erhalten Sie automatisch einen AVV nach Art. 28 DSGVO mit vollständigen Pflichtinhalten, TOMs und Regelung zur Datenlöschung bei Vertragsende. Der AVV ist Teil des Onboarding-Prozesses, kein gesonderter Schritt.

Payroll Fuchs ist kein Steuerberater und erbringt keine steuerberatenden Leistungen im Sinne des StBerG. Die Lohnabrechnung erfolgt nach § 6 Nr. 4 StBerG durch qualifizierte Fachkräfte, AVV-Pflicht gilt und wird ohne Umwege eingehalten.

Zugriffskonzept: Nur direkt zuständige Mitarbeitende haben Zugriff auf Ihre Lohndaten. Jeder Zugriff wird protokolliert. Bei Vertragsende werden alle Daten nach Übergabe Ihrer Unterlagen fristgerecht gelöscht, mit Löschbescheinigung.

Häufig gestellte Fragen

Nein. Die Rechtsgrundlage ist § 26 Abs. 1 BDSG in Verbindung mit Art. 6 Abs. 1 lit. c DSGVO. Einwilligungen sind hier überflüssig und riskant, weil sie widerrufbar sind.

Immer wenn ein externer Lohndienstleister (kein Steuerberater) nach Weisung des Arbeitgebers Lohndaten verarbeitet. Steuerberater sind nach § 57 StBerG eigene Verantwortliche und benötigen keinen AVV. Bei Lohnbüros ohne Steuerberaterstatus ist ein AVV nach Art. 28 DSGVO Pflicht.

Lohnkonten 6 Jahre (§ 41 EStG), Lohnsteueranmeldungen und SV-Meldungen 10 Jahre (§ 147 AO, § 28f SGB IV). Faustregel: 10 Jahre für alles lohnsteuer- und SV-relevante. Nach Ablauf besteht aktive Löschpflicht.

Ein TIA ist eine dokumentierte Analyse, ob die Schrems-II-Anforderungen für Drittlandtransfers erfüllt sind. Nötig bei jedem US-Cloud-Anbieter oder Dienstleister mit US-Muttergesellschaft, auch wenn die Server in der EU stehen.

Ja, wenn die Software eine Leistungs- oder Verhaltenskontrolle ermöglicht. § 87 Abs. 1 Nr. 6 BetrVG schreibt Mitbestimmung bei Einführung technischer Einrichtungen vor. HR- und Payroll-Systeme mit Zeiterfassungskomponente fallen regelmäßig darunter. Eine Betriebsvereinbarung vor Einführung schützt vor Konflikten.

Sie haben als Verantwortlicher 72 Stunden Zeit, die Panne der zuständigen Aufsichtsbehörde zu melden (Art. 33 DSGVO). Bei voraussichtlicher Beeinträchtigung der Beschäftigten müssen Sie auch diese direkt informieren (Art. 34 DSGVO). Die Meldepflicht liegt bei Ihnen, nicht beim Dienstleister.

Mindestens: rollenbasiertes Zugriffsberechtigungskonzept, Datenverschlüsselung (at rest + in transit), Protokollierung aller Zugriffe, Backup-Konzept mit Wiederherstellungstests und jährliche Mitarbeiterschulungen nach Art. 32 Abs. 4 DSGVO.

Verwandte Themen

Aus dem Payroll Fuchs Blog

Quellen

  1. Bundesministerium der Justiz: Bundesdatenschutzgesetz (BDSG) § 26. gesetze-im-internet.de, aktueller Stand.
  2. Bundesministerium der Justiz: Datenschutz-Grundverordnung Art. 6, Art. 9, Art. 28, Art. 32, Art. 33. dsgvo-gesetz.de, aktueller Stand.
  3. EuGH C-311/18 (Schrems II) — Urteil vom 16.07.2020. curia.europa.eu.
  4. LfD Niedersachsen: Formulierungshilfe Auftragsverarbeitungsvertrag nach Art. 28 DS-GVO. lfd.niedersachsen.de, aktueller Stand.
  5. Taxmaro: Aufbewahrungsfristen Personalakte 2026/2027 — Tabelle mit Rechtsquellen. taxmaro.com, 2026.
  6. dpc-datenschutz.de: Datenschutz bei der Lohnabrechnung — Rechtsgrundlagen und Pflichten. dpc-datenschutz.de, aktueller Stand.
  7. docurex.com: CLOUD Act, EU-DSGVO, Schrems II — was Unternehmen wissen müssen. docurex.com, aktueller Stand.
  8. Externer Datenschutzbeauftragter Dresden: Art. 32 DSGVO — TOMs, Anforderungen und Umsetzung. externer-datenschutzbeauftragter-dresden.de, aktueller Stand.