DSGVO-konform

Datenschutz in HR & Lohnabrechnung: kein AVV, kein Outsourcing

Viele Unternehmen lagern die Lohnabrechnung aus, ohne je einen Auftragsverarbeitungsvertrag (AVV) abgeschlossen zu haben. Das ist seit 2018 bußgeldbewehrt. Lohnklar stellt den AVV im Onboarding bereit, überträgt Daten verschlüsselt und archiviert revisionssicher.

AVV nach Art. 28 DSGVO inklusive
Lohnzettel verschlüsselt & sicher zugestellt
Aufbewahrungsfristen automatisch dokumentiert
Server & Datenhaltung in Deutschland

Kostenlose Beratung buchen Unsere Leistungen

10+ Jahre Erfahrung

50+ Betreute Unternehmen

100% DSGVO-konform

0 Datenschutzvorfälle

Ihre DSGVO-Pflichten im HR-Bereich

Gehaltsabrechnungen, Personalakten, Krankmeldungen, Sozialversicherungsdaten: Die DSGVO stellt für jeden dieser Bereiche konkrete Anforderungen. Lohnklar übernimmt die Umsetzung.

Auftragsverarbeitungsvertrag (AVV)

Pflicht nach Art. 28 DSGVO bei jeder Auslagerung der Lohnabrechnung. Lohnklar stellt Ihnen einen rechtssicheren AVV bei Vertragsschluss zur Verfügung.

Technisch-organisatorische Maßnahmen (TOMs)

Verschlüsselung bei Übertragung und Speicherung, Zugriffskontrollen, Rollenberechtigungen und Löschkonzepte nach Art. 32 DSGVO sind bei Lohnklar Standard.

Datenschutzinformation für Beschäftigte

Art. 13 DSGVO verpflichtet zur Transparenz: Mitarbeiter müssen informiert werden, welche Daten warum verarbeitet werden. Lohnklar stellt Musterdokumente bereit.

Aufbewahrungsfristen & Löschkonzept

Lohnunterlagen: 10 Jahre (§ 147 AO). Personalakten: 3 Jahre nach Austritt. Meldebescheinigungen: 5 Jahre. Lohnklar dokumentiert Fristen revisionssicher.

Verzeichnis der Verarbeitungstätigkeiten (VVT)

Nach Art. 30 DSGVO müssen Arbeitgeber ab 250 Mitarbeitern (und in der Praxis fast immer) ein VVT führen. Wir unterstützen bei der Erfassung payrollrelevanter Verarbeitungen.

Betroffenenrechte (Auskunft, Löschung)

Mitarbeiter haben das Recht auf Auskunft, Berichtigung und Löschung ihrer Daten. Lohnklar unterstützt bei der fristgerechten Bearbeitung (max. 1 Monat nach Anfrage).

Typische DSGVO-Risiken im Payroll-Bereich

Diese Verstöße begegnen uns in der Praxis regelmäßig, oft unwissentlich. Die Bußgelder können empfindlich sein.

Kein AVV mit dem Lohnbüro Häufigster Fehler

Viele Unternehmen haben noch nie einen Auftragsverarbeitungsvertrag mit ihrem Steuerberater oder Lohnbüro abgeschlossen, obwohl dies seit Mai 2018 zwingend vorgeschrieben ist.

Lohnzettel per unverschlüsselter E-Mail

Der Versand von Gehaltsabrechnungen als unverschlüsselte E-Mail-Anhänge ist ein Datenschutzverstoß. Sichere Übermittlung (verschlüsselt, Mitarbeiterportal) ist Pflicht.

Zu lange Aufbewahrung ausgeschiedener MA

Daten ehemaliger Mitarbeiter werden häufig aus Gewohnheit unbegrenzt gespeichert. Nach Ablauf der gesetzlichen Fristen ist eine Löschung datenschutzrechtlich geboten.

Gehaltsdaten in ungeschützten Excel-Dateien

Lohnlisten in nicht passwortgeschützten Tabellen auf Netzlaufwerken mit breitem Zugriff sind ein klassisches Datenschutzrisiko, insbesondere in kleinen Unternehmen.

Diagnosedaten in der Personalakte

Krankheitsdiagnosen gehören nicht in die Personalakte, nur AU-Bescheinigungen (Dauer, nicht Ursache). Diagnosedaten sind besondere Kategorien nach Art. 9 DSGVO.

Fehlende Datenschutzinformation bei Einstellung

Neue Mitarbeiter müssen bei der Einstellung eine Datenschutzerklärung nach Art. 13 DSGVO erhalten. Fehlt dieses Dokument, drohen Bußgelder und Auskunftsansprüche.

Aufbewahrungsfristen: Was wie lange aufzubewahren ist

Fristen gelten nach § 147 AO, § 28f SGB IV und dem BGB. Nach Ablauf gilt: unverzüglich löschen.

Dokument / Datenart	Aufbewahrungsfrist	Rechtsgrundlage	Hinweis
Lohn- und Gehaltsabrechnungen	10 Jahre	§ 147 AO, § 257 HGB	Ab Ende des Kalenderjahres
Arbeitsverträge	3 Jahre nach Austritt	§ 195 BGB (Verjährung)	Ggf. länger bei laufenden Verfahren
Meldebescheinigungen SV	5 Jahre	§ 28f SGB IV	Ab dem Zeitpunkt der Meldung
Beitragsabrechnungen SV	5 Jahre	§ 28f SGB IV	Ab Ende des Kalenderjahres
AU-Bescheinigungen (ohne Diagnose)	3 Jahre	§ 195 BGB	Keine Diagnose aufbewahren
Abmahnungen	2–3 Jahre	BAG-Rechtsprechung	Nach Wirksamkeitsverlust löschen
Reisekostenbelege	10 Jahre	§ 147 AO	Als Buchungsbelege aufzubewahren
Arbeitszeugnisse (Kopien)	3 Jahre nach Austritt	§ 195 BGB	Original erhält der Arbeitnehmer

Was Lohnklar für Sie übernimmt

AVV, verschlüsselte Datenübertragung, Fristen-Dokumentation, sicherer Lohnzettelversand: das sind die konkreten Maßnahmen, die Lohnklar für Sie umsetzt.

Vertragswerk & Dokumentation

AVV nach Art. 28 DSGVO
TOMs-Dokument auf Anfrage
Datenschutzinformation für Mitarbeiter (Muster)
Unterstützung beim VVT-Eintrag

Sichere Datenverarbeitung

Verschlüsselte Datenübertragung (TLS)
Lohnzettel über sicheres Mitarbeiterportal
Datenhaltung auf deutschen Servern
Rollenbasierte Zugriffskontrollen

Fristen & Löschung

Automatische Fristendokumentation
Löschprotokoll ausgeschiedener MA
Archivierungskonzept auf Anfrage
Unterstützung bei Betroffenenanfragen

Software & Tools

DATEV: DSGVO-konform & ISO-zertifiziert
Personio / HeavenHR mit AVV verfügbar
Keine Weitergabe an Dritte ohne Grundlage
Keine Speicherung auf privaten Geräten

Häufige Fragen zum Datenschutz in HR

Brauche ich einen Auftragsverarbeitungsvertrag wenn ich die Lohnabrechnung auslagere?

Ja, zwingend. Wenn Sie die Lohnabrechnung an einen externen Dienstleister wie Lohnklar auslagern, verarbeitet dieser im Auftrag Ihres Unternehmens personenbezogene Daten Ihrer Beschäftigten. Das macht den Dienstleister zum Auftragsverarbeiter nach Art. 28 DSGVO, und ein schriftlicher Auftragsverarbeitungsvertrag (AVV) ist Pflicht. Ohne AVV riskieren Sie Bußgelder bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Lohnklar stellt Ihnen im Onboarding-Prozess einen rechtskonformen AVV zur Verfügung.

Wie lange müssen Lohnabrechnungsunterlagen aufbewahrt werden?

Lohn- und Gehaltsabrechnungen sowie alle damit verbundenen Buchhaltungsunterlagen unterliegen der handelsrechtlichen Aufbewahrungspflicht von 10 Jahren (§ 147 AO). Personalakten im weiteren Sinne müssen mindestens bis zum Ende des Arbeitsverhältnisses plus Verjährungsfristen aufbewahrt werden, üblicherweise 3 Jahre nach Beendigung. Meldebescheinigungen zur Sozialversicherung sind 5 Jahre aufzubewahren. Datenschutzrechtlich gilt: Nach Ablauf der Aufbewahrungspflichten sind Daten unverzüglich zu löschen.

Darf der Arbeitgeber Gesundheitsdaten in der Personalakte speichern?

Nur in sehr engen Grenzen. Gesundheitsdaten sind besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO. In der Personalakte dürfen AU-Bescheinigungen (Dauer, ohne Diagnose) aufgenommen werden, nicht jedoch die Diagnose. BEM-Unterlagen sind streng getrennt von der regulären Personalakte zu führen.

Was muss ich beim Einsatz von HR-Software bezüglich Datenschutz beachten?

Bei Cloud-basierter HR-Software prüfen Sie: Wo liegen die Server (EU/EWR bevorzugt)? Ist ein AVV mit dem Anbieter geschlossen? Welche Sicherheitsstandards gelten (ISO 27001, SOC 2)? Gibt es eine Datenschutz-Folgenabschätzung (DSFA)? Bei Personio, HeavenHR oder Sage ist ein AVV standardmäßig verfügbar. Zusätzlich sind Zugriffsberechtigungen zu dokumentieren und regelmäßig zu überprüfen.

Was sind die größten DSGVO-Risiken bei der Lohnabrechnung?

Die häufigsten DSGVO-Verstöße im Payroll-Bereich: 1) Kein oder fehlerhafter Auftragsverarbeitungsvertrag mit dem Lohnbüro oder der Software, 2) Zu lange Aufbewahrung von Daten ausgeschiedener Mitarbeiter, 3) Fehlende Datenschutzinformation für Beschäftigte, 4) Lohnzettel per unverschlüsselter E-Mail, 5) Weitergabe von Gehaltsdaten an Dritte ohne Rechtsgrundlage. Lohnklar implementiert alle technisch-organisatorischen Maßnahmen und stellt Musterdokumente bereit.

Lohnabrechnung mit AVV, Verschlüsselung und korrekten Fristen

Lohnklar übernimmt Ihre komplette Payroll DSGVO-konform: AVV im Onboarding, verschlüsselte Übertragung, revisionssichere Archivierung. Erstberatung kostenlos.

Kostenlose Erstberatung buchen