Lohnunterlagen: Elektronische Pflicht ab Januar 2027 für alle Arbeitgeber

Januar 2027 wird die elektronische Führung von Lohn- und Gehaltsunterlagen zur Pflicht. Arbeitgeber in ganz Deutschland müssen sich auf eine grundlegende Umstellung ihrer Personalverwaltung einstellen.

Lücken im DSGVO-Verarbeitungsverzeichnis können Ihr Unternehmen bis zu 2 % des Jahresumsatzes kosten. Viele Firmen unterschätzen dieses Risiko – eine kostenlose Excel-Vorlage hilft, die Dokumentationspflicht rechtssicher zu erfüllen. DSGVO-Pflicht in wenigen Stunden erledigt: So erstellen Sie Ihr Verarbeitungsverzeichnis zeitsparend und rechtssicher

Das Ende der Papierakte ist besiegelt

Die gesetzliche Grundlage für diesen Wandel bilden das Sozialgesetzbuch (SGB IV) und die Beitragsverfahrensverordnung (BVV). Nachdem eine jahrelange Übergangsregelung zum 31. Dezember 2026 ausläuft, gibt es kein Zurück mehr zur traditionellen Papierakte. Eine bestimmte Software schreibt der Gesetzgeber zwar nicht vor – doch die Systeme müssen den strengen Anforderungen der Grundsätze zur ordnungsgemäßen Führung und Aufbewahrung von Büchern (GoBD) genügen.

Besonders wichtig: Die Dokumente müssen jederzeit verfügbar und unveränderbar archiviert sein. Branchenlösungen wie die von DATEV oder SAP setzen daher verstärkt auf revisionssichere Archivierung und Mehr-Faktor-Authentifizierung. Wer bislang noch auf physische Akten setzt, sollte jetzt die Einführung qualifizierter elektronischer Signaturen (QES) prüfen – nur so sind vollständig papierlose und rechtssichere Workflows möglich.

Datenschutz als roter Faden

Die Datensparsamkeit steht an oberster Stelle. Nach der DSGVO und dem Bundesdatenschutzgesetz (BDSG) dürfen in Personalakten nur Informationen gespeichert werden, die für das Beschäftigungsverhältnis tatsächlich erforderlich sind.

Erlaubt sind in der Regel:
- Bewerbungsunterlagen
- Arbeitsverträge
- Gehaltsabrechnungen
- Leistungsbeurteilungen

Streng verboten – ohne ausdrückliche Einwilligung – sind dagegen sensible Daten zu Gesundheit, politischen oder religiösen Überzeugungen sowie Gewerkschaftsmitgliedschaften. Experten warnen zudem: Private Notizen und unerlaubte Hintergrundchecks haben in einer complianten Personalakte nichts verloren.

Ein weiterer Knackpunkt: Die Einführung von Software, die das Mitarbeiterverhalten überwachen kann, erfordert die Zustimmung des Betriebsrats. Das betrifft insbesondere Learning-Management-Systeme und umfassende HR-Plattformen.

Löschkonzepte werden zur Pflicht

Eine der größten Fallstricke bleibt die systematische Datenlöschung. Eine Prüfungskampagne des Bayerischen Landesamts für Datenschutzaufsicht aus dem Jahr 2024 ergab: Mehr als 60 Prozent der untersuchten Unternehmen hatten keine dokumentierten Aufbewahrungsfristen. Um Bußgelder zu vermeiden, ist ein formelles Löschkonzept unverzichtbar.

Datenschutzexperten empfehlen: Diese Excel-Vorlage macht Art. 30 DSGVO endlich verständlich. Tausende Unternehmen nutzen bereits das kostenlose Muster-Verarbeitungsverzeichnis für ihre Dokumentationspflicht. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

Die wichtigsten Fristen im Überblick:
- Arbeitsverträge: In der Regel 10 Jahre
- Gehaltsunterlagen: Meist 6 Jahre
- Abgelehnte Bewerbungen: Nach 6 Monaten löschen (Gleichbehandlungsgesetz)
- Abmahnungen: Drei Jahre nach Austritt des Mitarbeiters entfernen

Die Behörden stellen klar: Ein Löschkonzept ist ein internes Steuerungsinstrument, das auf einem aktuellen Verarbeitungsverzeichnis (VVT) basieren muss.

Neue Regeln für Daten und Künstliche Intelligenz

Die regulatorischen Anforderungen wachsen weiter. Am 30. Mai 2026 trat das Daten-Durchsetzungsgesetz (DADG) in Kraft. Es bestimmt die Bundesnetzagentur zur zentralen Aufsichtsbehörde für die Datenwirtschaft. Das Gesetz ergänzt den EU Data Act, der seit Ende 2025 regelt, wie Hersteller vernetzter Geräte Nutzerdaten zugänglich machen müssen.

Noch brisanter: Der Entwurf des Jahressteuergesetzes 2026 sieht vor, dass die Finanzverwaltung künftig echte Steuerdaten zum Training von KI-Systemen nutzen darf – ein Schritt, der bisher an den Zweckbindungsregeln der DSGVO schien.

Im HR-Bereich zeichnet sich ein weiterer Trend ab. Juristische Experten veröffentlichten Anfang Juni 2026 eine Analyse, wonach der KI-Einsatz im Arbeitsumfeld künftig einem „regulatorischen Dreieck" aus EU AI Act, NIS-2-Sicherheitsstandards und der Digital Operational Resilience Act (DORA) genügen muss.

Die Botschaft an die Vorstände ist deutlich: Sie haften zunehmend persönlich dafür, dass ihre digitalen Systeme den strengen Vorgaben für Hochrisiko-KI-Anwendungen entsprechen. Die Europäische Kommission führt dazu noch bis Ende Juni 2026 Konsultationen durch.

de | wirtschaft | 69472279 |