Lohnabrechnungen gehören zu den datenschutzrechtlich sensibelsten Vorgängen in einem Unternehmen. Jeder Entgeltnachweis enthält Gesundheitsdaten (Krankenkassenzugehörigkeit, Pflegeversicherungsgrad), Finanzinformationen und bei Pfändungen sogar Details aus Gerichtsverfahren. Und dennoch behandeln viele kleine und mittlere Unternehmen den Datenschutz in der Lohnabrechnung wie ein nachgelagertes Thema — bis die erste Anfrage der Datenschutzbehörde eintrifft.
Dieser Leitfaden richtet sich an Geschäftsführer und Lohnverantwortliche, die verstehen wollen, was die DSGVO im Payroll-Kontext konkret bedeutet — jenseits von allgemeinen Hinweisen auf „Einwilligung" und „Datensparsamkeit".
Was Lohndaten von anderen Personaldaten unterscheidet
Die DSGVO unterscheidet zwischen „normalen" personenbezogenen Daten und besonderen Kategorien nach Art. 9. Gesundheitsdaten fallen in letztere Gruppe — und genau hier beginnt die Komplexität im Payroll-Kontext. Die Krankenkassenbeiträge in jeder Lohnabrechnung setzen voraus, dass der Arbeitgeber weiß, bei welcher Krankenkasse der Arbeitnehmer versichert ist. Sobald ein Mitarbeiter etwa in der Knappschaft oder einer privaten Krankenversicherung ist, verrät bereits die Höhe der abzuführenden Beiträge Rückschlüsse auf seinen Versicherungsstatus.
Ähnlich verhält es sich mit Lohnpfändungen: Ein Pfändungs- und Überweisungsbeschluss verpflichtet den Arbeitgeber, dem Drittschuldner (also dem pfändenden Gläubiger) Auskunft zu geben. Dabei fließen Nettolohnhöhe, Anzahl unterhaltsberechtigter Kinder und sonstige Abzüge nach außen — alles streng vertraulich, aber verarbeitungspflichtig.
Das bedeutet: Lohndaten brauchen ein höheres Schutzniveau als beispielsweise Kontaktdaten, obwohl beide unter die DSGVO fallen. Technische und organisatorische Maßnahmen (TOMs) nach Art. 32 müssen entsprechend skaliert sein.
Zugriffsrechte: Das unterschätzte Kernproblem
In der Praxis scheitern viele Unternehmen nicht an der Grundidee des Datenschutzes, sondern an der Umsetzung von rollenbasierten Zugriffsrechten. Ein typisches Szenario aus dem deutschen Mittelstand: Die Buchhalterin, die Lohnabrechnungen erstellt, sitzt im selben Verzeichnis wie die Personalakte, die Urlaubsplanung und der E-Mail-Verteiler. Der Geschäftsführer hat Vollzugriff auf alle Dateien. Die IT hat alle Passwörter. Ein externer Steuerberater bekommt die Rohdaten per E-Mail zugeschickt.
Das ist kein Einzelfall — das ist der Standard in Betrieben unter 50 Mitarbeitern, die noch keine dedizierte HR-Software einsetzen.
Die DSGVO fordert in Art. 5 Abs. 1 lit. f das Prinzip der Vertraulichkeit und Integrität. In der Übersetzung auf Lohnprozesse bedeutet das:
- Nur die Lohnbuchhaltung darf Zugriff auf Gehaltsdaten haben — nicht die allgemeine Buchhaltung, nicht das Office-Management.
- Der Steuerberater als Auftragsverarbeiter benötigt einen schriftlichen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO, bevor er auch nur eine einzige Lohnabrechnung erhält.
- Digitale Übertragung sollte verschlüsselt erfolgen — das Versenden von Lohnlisten als unverschlüsselte E-Mail-Anlage ist technisch zulässig, praktisch aber ein Risiko.
Wir sagen nicht, dass dezentrale Zugriffsstrukturen per se rechtswidrig sind. Wir sagen, dass ohne ein dokumentiertes Berechtigungskonzept eine Nachweispflicht nach Art. 5 Abs. 2 (Rechenschaftspflicht) kaum erfüllbar ist — gerade wenn ein Vorfall eintritt.
Aufbewahrungsfristen: Wann darf was gelöscht werden?
Ein häufiger Irrtum: Je kürzer die Aufbewahrung, desto DSGVO-konformer. Das stimmt nur halb. Die DSGVO fordert Datensparsamkeit — aber Steuerrecht, Sozialversicherungsrecht und Handelsrecht erzwingen in Deutschland teils sehr lange Aufbewahrungspflichten, die dem Datenschutzrecht vorgehen.
Für Lohnunterlagen gilt in Deutschland nach § 41 EStG und § 257 HGB eine Aufbewahrungsfrist von grundsätzlich sechs Jahren für die Lohnsteuerbescheinigung und zehn Jahren für Buchungsbelege, soweit sie steuerlich relevant sind. Das schließt Lohnjournale, Beitragsberechnungen zur Sozialversicherung und den Nachweis über abgeführte Lohnsteuer ein.
Gleichzeitig schreibt die DSGVO vor, dass nach Ablauf der Aufbewahrungspflicht aktiv gelöscht werden muss — nicht irgendwann, sondern sobald der Zweck entfällt. Ein Unternehmen, das ehemalige Mitarbeiter noch Jahre nach dem regulären Aufbewahrungsende in seinen Systemen führt, verletzt das Prinzip der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e.
Praktisch empfiehlt sich daher ein Löschkonzept, das automatisiert nach Ablauf jeder Frist Löschvorgänge auslöst oder zumindest dokumentiert, warum Daten weiter aufbewahrt werden.
Auftragsverarbeitung: Wenn der Steuerberater zur DSGVO-Pflicht wird
Viele Unternehmen wissen, dass sie mit einem Softwareanbieter einen AVV abschließen müssen. Weniger bekannt ist, dass dasselbe für den klassischen Steuerberater gilt, der die Lohnabrechnung erstellt — selbst wenn er eine freiberufliche Einzelkanzlei betreibt.
Sobald ein externer Dienstleister im Auftrag des Unternehmens personenbezogene Daten verarbeitet und dabei weisungsgebunden handelt, liegt Auftragsverarbeitung vor. Der AVV muss nach Art. 28 Abs. 3 DSGVO mindestens enthalten: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Kategorien betroffener Personen, Unterauftragsverhältnisse, technische und organisatorische Maßnahmen sowie Rückgabe- und Löschpflichten am Ende des Auftrags.
Ein Praxisfall: Ein Münchner Dienstleistungsunternehmen mit 35 Mitarbeitern wechselt seinen Steuerberater. Beim Wechsel stellt sich heraus, dass kein AVV mit der vorherigen Kanzlei existiert. Die Datenschutzbehörde Bayern hat in solchen Fällen zuletzt verstärkt auf formkonforme AVVs bestanden — ein nachträgliches Erstellen ist möglich, aber rückwirkend nicht heilbar.
Verzeichnis der Verarbeitungstätigkeiten — auch für KMU verpflichtend
Art. 30 DSGVO verpflichtet Verantwortliche grundsätzlich dazu, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Die Ausnahme für Unternehmen unter 250 Mitarbeitern in Art. 30 Abs. 5 greift nur, wenn die Verarbeitung kein Risiko für die Rechte der betroffenen Personen birgt — was bei Gesundheits- oder Lohndaten ausdrücklich nicht der Fall ist.
Das bedeutet: Auch ein Handwerksbetrieb mit 12 Mitarbeitern muss für seine Lohnabrechnung einen Eintrag im Verarbeitungsverzeichnis haben. Dieser muss Zweck, Kategorien, Empfänger, Fristen und TOMs dokumentieren. In der Praxis unterschätzen viele kleine Unternehmen genau diesen Punkt — mit dem Ergebnis, dass im Fall einer Datenschutzverletzung keine Dokumentation vorhanden ist, was Bußgelder erheblich erhöhen kann.
Digitale Payroll-Software und Datenschutz by Design
Die DSGVO fordert in Art. 25 Datenschutz durch Technikgestaltung (Privacy by Design) und datenschutzfreundliche Voreinstellungen. Für Lohnsoftware bedeutet das konkret: Zugriffsrechte sollten standardmäßig restriktiv vergeben sein, Datenexporte sollten protokolliert werden, und die Software sollte Löschfristen aktiv unterstützen — nicht erst auf Anfrage.
Wenn ein Unternehmen eine cloudbasierte Lohnlösung einsetzt, prüft die Datenschutzbehörde im Zweifel auch, wo die Server stehen. Verarbeitung in EU/EWR-Rechenzentren ist unkritisch. Drittlandsübermittlungen (z. B. US-Server ohne angemessenes Schutzniveau nach Art. 46) sind dagegen seit dem Schrems-II-Urteil erheblich riskanter geworden — besonders wenn biometrische oder Gesundheitsdaten betroffen sind.
Ein durchdachtes Lohnsystem dokumentiert automatisch, welcher Nutzer wann auf welche Lohnabrechnung zugegriffen hat. Es erzwingt rollenbasierte Berechtigungen, ist DSGVO-konform in der EU gehostet und ermöglicht revisionssichere Archivierung. Das ist kein Luxus — es ist die technische Basis, ohne die ein belastbares Datenschutzkonzept kaum umsetzbar ist.
Die DSGVO-Konformität in der Lohnabrechnung ist kein Projekt, das man einmal abschließt. Sie ist ein laufender Prozess aus Berechtigungsmanagement, Vertragspflege, Fristenkontrolle und technischer Konfiguration. Wer das strukturiert angeht, spart sich nicht nur Bußgelder — er schützt vor allem das Vertrauen seiner Mitarbeiter.