Datenschutz bei der Gehaltsabrechnung
- Gehaltsabrechnungen enthalten sensible personenbezogene Daten, die besonderen Schutz erfordern.
- Die digitale Gehaltsabrechnung bietet Vorteile, muss aber verschlüsselt und gegen Manipulationen gesichert sein.
- Die schriftliche Zustimmung der Mitarbeiter:innen ist für den Versand per Mail erforderlich.
- Auftragsverarbeitungsverträge sind notwendig, wenn externe Dienstleister eingesetzt werden.
- Löschfristen und Zweckbindung müssen beachtet werden, um Datenschutzverstöße zu vermeiden.
- Item A
- Item B
- Item C
Warum gelten bei Lohnabrechnungen besondere Datenschutzanforderungen?
Der Datenschutz ist bei der Gehaltsabrechnung ein wichtiges Thema. HR-Dokumente enthalten viele personenbezogene Daten. Dazu gehören auch besondere Arten personenbezogener Daten wie beispielsweise die Religionszugehörigkeit. Nach der DSGVO und dem BDSG unterliegen die in der Gehaltsabrechnung enthaltenen Informationen also einem besonderen Schutz. Doch welche Vorgaben zum Datenschutz bei der Lohnabrechnung müssen Arbeitgeber:innen einhalten?
DSGVO-konformer Versand der Gehaltsabrechnung per Post oder Mail
Lohn- und Gehaltsabrechnungen werden in Deutschland herkömmlicherweise immer noch mit der Post verschickt. Rund 70 Prozent der Abrechnungen werden auf dem klassischen Postweg zugestellt. Digitale Lösungen bieten zunehmend attraktive Alternativen, insbesondere im Hinblick auf Effizienz und Nachhaltigkeit. Fraglich ist und bleibt jedoch, inwieweit bei der digitalen Gehaltsabrechnung der Datenschutz zuverlässig gewährleistet werden kann.
Gehaltsabrechnung per Post: Datenschutz nicht immer gewährleistet
Der Versand von Gehaltsabrechnungen per Post ist datenschutztechnisch nicht immer sicher. Gerade dann, wenn es zu Problemen bei der Zustellung kommt und die sensiblen Daten falsche Empfänger:innen erreichen. Auch die Hauspost ist keine angemessene Alternative. Auf dem Schreibtisch der Mitarbeitenden oder im offenen Postfach des Unternehmens besteht ebenfalls das Risiko, dass Unbefugte Einsicht in vertrauliche Unterlagen erhalten.
Lohnabrechnung per Mail: Vorteile und Herausforderungen
Arbeitgeber:innen, die Lohnabrechnungen per Mail verschicken, sparen Ressourcen ein. Durch wegfallende Papier-, Druck- und Portokosten sowie durch automatisierte Prozesse sind die Vorteile in der Theorie klar zu erkennen. Der Einsatz verschlüsselter E-Mail-Gateways oder spezieller Portallösungen kann helfen, eine sichere und nachweisbare Übermittlung der sensiblen Daten zu gewährleisten. Es kann sowohl die Firmen- als auch die private E-Mail-Adresse für die Zustellung der Dokumente genutzt werden. Für Arbeitgeber:innen bietet eine Lösung mit Transaktionshistorie zusätzliche Sicherheit. Der Prozess wird dadurch nachvollziehbar und transparenter mit Blick auf mögliche Fehlerquellen. Es gibt also unterschiedliche Möglichkeiten, um die digitale Versendung von Lohnabrechnungen so sicher wie möglich zu gestalten.
Trotz dieser technischen Möglichkeiten bleibt der Versand von Lohnabrechnungen per Mail hinsichtlich Datenschutz eine Herausforderung. Fehler bei der Eingabe der Empfängeradresse können schnell dazu führen, dass unverschlüsselte elektronische Gehaltsabrechnungen in falsche Hände geraten. Deshalb sollten sensible HR-Daten grundsätzlich immer verschlüsselt werden, wenn der Versand per Mail DSGVO-konform erfolgen soll. Zudem müssen Arbeitnehmer:innen dem elektronischen Versand von Lohnabrechnungen vor dessen Einführung schriftlich zustimmen.
{{infobox}}
Digitale Gehaltsabrechnung & Datenschutz: Das sollten Unternehmen wissen
Die digitale Gehaltsabrechnung ist mit Blick auf den Datenschutz eine gute Alternative zum konventionellen Versand mit der Post. Um dem Datenschutz von personenbezogenen Daten Rechnung zu tragen, gibt es einige Regeln zu beachten.
Das Dokument sollte digital signiert und zu jeder Zeit gegen nachträgliche Veränderungen geschützt sein. Deshalb empfiehlt sich als Format das PDF. Neuere Gerichtsurteile, wie etwa ein Urteil des Bundesarbeitsgerichts vom Januar 2025, haben bestätigt, dass eine digitale Gehaltsabrechnung die gesetzliche Textform erfüllen kann, sofern Mitarbeitenden ein sicherer Zugriff im Betrieb ermöglicht wird.
Grundsätzlich ist es ratsam, die Aufbewahrung und das Verschicken digitaler HR-Dokumente immer verschlüsselt vorzunehmen. Dabei sollte eine Ende-zu-Ende-Verschlüsselung eingesetzt werden, um die Vertraulichkeit der sensiblen Lohndaten zuverlässig zu gewährleisten. Im Intranet des Unternehmens ist der Zugriff über ein zweistufiges Berechtigungssystem besonders sicher. Gegen Manipulationen geschützte Protokolldaten ermöglichen zudem Transparenz in Hinblick auf die Zugriffe.
Hinweis: Wenn Unternehmen den Ausdruck der digitalen Gehaltsabrechnung im Betrieb ermöglichen, sollte der Druckvorgang ebenfalls abgesichert sein – etwa durch einen PIN-geschützten Drucker oder eine Ausgabe direkt am Arbeitsplatz. Zuvor festgelegte Zugriffsrechte bzw. -beschränkungen gewährleisten, dass nur Beschäftigten Zugriff auf die für die Lohnabrechnung relevanten Daten haben, die sie für die Erfüllung ihrer ihnen zugewiesenen Aufgaben unbedingt benötigen. Dies entspricht dem Grundsatz der Zweckbindung.
Sicherer Umgang mit ELStAM-Daten
Beim elektronischen Abruf der Lohnsteuerabzugsmerkmale (ELStAM) werden personenbezogene Daten von Mitarbeitenden über das ELSTER-System an den Arbeitgeber:innen übermittelt. Auch hier gelten hohe Anforderungen an die Datensicherheit: Die Übertragung muss verschlüsselt erfolgen und vor unbefugtem Zugriff geschützt sein.
Unternehmen sind verpflichtet, die ELStAM-Daten ausschließlich im Rahmen der zulässigen Verarbeitungszwecke zu nutzen und sie nach den steuerrechtlichen Aufbewahrungsfristen sicher zu löschen. Seit 2025 gelten zudem neue Vorgaben: Arbeitgeber:innen müssen Positiv- oder Negativlisten nutzen, um die korrekte Berechtigung zum Abruf der Lohnsteuerdaten sicherzustellen.
Eine sorgfältige Organisation der ELStAM-Prozesse hilft, Datenschutzverstöße und mögliche Bußgelder zu vermeiden.
Gehaltsabrechnung durch Dienstleister: Was ist aus DSGVO-Sicht zu beachten?
Die Einhaltung von Datenschutzvorgaben der DSGVO gilt natürlich auch für die Kommunikation mit externen Parteien wie Lohn- und Gehaltsabrechnungsdienstleistern. Werden personenbezogene Daten an externe Parteien übermittelt, erfolgt dies in aller Regel auf Basis eines Auftragsverarbeitungsvertrags gemäß Art. 28 DSGVO.
Arbeitgeber:innen bleiben auch in diesem Fall voll verantwortlich für die datenschutzkonforme Verarbeitung der übermittelten Informationen. Dazu gehört insbesondere die Verpflichtung, geeignete technische und organisatorische Maßnahmen sicherzustellen sowie den Dienstleister regelmäßig zu kontrollieren – etwa durch Audits oder die Einholung von Nachweisen.
Eine gesonderte Einwilligung der Arbeitnehmer:innen für die Übertragung an Auftragsverarbeiter:innen ist nicht erforderlich, da diese Verarbeitung auf gesetzlichen Grundlagen (Art. 6 Abs. 1 lit. b und c DSGVO) beruht. Allerdings müssen die Betroffenen im Rahmen der Informationspflichten nach Art. 13 DSGVO klar darüber informiert werden, welche Daten durch welche Dienstleister verarbeitet werden.
Zusätzlich sollte die Datenübertragung an externe Dienstleister stets verschlüsselt erfolgen, und der gesamte Transferprozess muss nachvollziehbar dokumentiert sein, um einen hohen Schutzstandard zu gewährleisten.
Aufbewahrung und Löschfristen
Es sind gewisse Löschfristen bezüglich der gespeicherten Lohnabrechnungsdaten zu beachten um den Datenschutz bei der Gehaltsabrechnung gewährleisten zu können. Nach dem Grundsatz der Speicherbegrenzung dürfen personenbezogene Daten nur so lange verarbeitet und gespeichert werden, wie dies zur Erfüllung des damit verfolgten Zwecks erforderlich ist. Bei Zweckfortfall sind diese grundsätzlich unverzüglich zu löschen.
Seit 2025 wurden die handels- und steuerrechtlichen Aufbewahrungsfristen von zehn auf acht Jahre verkürzt. Unternehmen sollten ihre internen Lösch- und Archivierungskonzepte entsprechend aktualisieren. Mögliche Gründe für eine längerfristige Datenspeicherung sind arbeits- oder steuerrechtlichen Belange, oder Daten zur betrieblichen Altersvorsorge.
Bei Nichteinhaltung dieser Grundsätze drohen, je nach Einzelfall und Schwere der Datenschutzverletzung, hohe Bußgelder für Arbeitgeber:innen. Dies betrifft insbesondere Verstöße gegen Löschpflichten oder unberechtigte Datenweitergaben.
Fazit: Chancen durch Digitalisierung bei guter Umsetzung
Die digitale Lohnabrechnung ist beim Datenschutz eine gute Alternative zur gedruckten Version. Trotzdem erfordert auch die elektronische Gehaltsabrechnung in Sachen Datenschutz Achtsamkeit. Mit Blick auf zukünftige Entwicklungen – wie die weiter zunehmende Digitalisierung und neue gesetzliche Anpassungen – bleibt es für Unternehmen entscheidend, ihre Datenschutzkonzepte regelmäßig zu prüfen und an aktuelle Anforderungen anzupassen.
E-Rechnungen sind ab 2025 Pflicht – und jede Buchhaltungssoftware verarbeitet personenbezogene Daten. In diesem Webinar zeigen Datenschutzexperte & sevdesk, wie Sie den Datenschutzpflichten effizient, verständlich und digital nachkommen.
Wann? 08.05.2025 | online
Uhrzeit: 16:30Uhr
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
