Skip to content
reader.me

Gehaltsabrechnungen und Verträge in der Personalabteilung: Was die DSGVO erwartet

HR verarbeitet Gehaltsabrechnungen, Verträge, Krankschreibungen und Bankdaten. Das verlangt die DSGVO von denen, die sie verarbeiten, und darum hilft es, das auf dem eigenen Gerät zu tun.

AG Antonia González · 2. Juli 2026 · 7 Min. Lesezeit

Ein HR-Arbeitsplatz ist einer der datenreichsten Orte in jedem Unternehmen. An einem ganz normalen Dienstag öffnet eine einzelne Person vielleicht eine Gehaltsabrechnung, einen unterschriebenen Vertrag, eine Krankschreibung, eine Bankbescheinigung und die Kopie eines Ausweises. Jedes davon ist ein PDF, und jedes dieser PDFs handelt von einer realen Person, die nie zu sehen bekommt, wie damit umgegangen wird.

Das ist der Job. Die Frage ist, was die DSGVO von Ihnen im Umgang mit all dem erwartet und wo die alltägliche PDF-Arbeit in die Regeln passt.

Die Daten, die HR berührt, sind die sensible Sorte

Nicht alle personenbezogenen Daten sind unter der DSGVO gleich. Eine berufliche E-Mail-Adresse ist ein personenbezogenes Datum. Eine Gehaltszahl auch, aber sie wiegt schwerer, und HR sitzt auf einem ganzen Haufen davon.

Gehaltsabrechnungen zeigen, was Menschen verdienen. Verträge zeigen Konditionen, manchmal Klauseln zu Gesundheit oder familiärer Situation. Krankschreibungen können eine medizinische Diagnose offenbaren, was eine besondere Kategorie von Daten mit zusätzlichem Schutz ist. Bankdaten öffnen die Tür zu Betrug. Personalausweis- und Sozialversicherungsnummern sind genau das, was Identitätsdiebe wollen. Versammeln Sie all das in einer Abteilung, und Sie haben ein Ziel.

Die DSGVO kümmert sich stärker um dieses Material, weil der Schaden durch ein Leck größer ist. Eine geleakte Marketingliste ist ärgerlich. Ein geleakter Stapel Gehaltsabrechnungen und Ausweisscans kann jemandes Finanzen und Seelenfrieden zerstören.

Was die Regeln tatsächlich von Ihnen verlangen

Sie müssen die Verordnung nicht auswendig können, um sie zu befolgen. Ein paar Pflichten decken das meiste ab, was HR mit diesen Dateien tut.

Halten Sie die Daten sicher. Artikel 32 verlangt angemessene technische und organisatorische Maßnahmen. Im Klartext: Die Dateien sollten so geschützt sein, wie es ihrer Sensibilität entspricht. Eine Gehaltsabrechnung verdient mehr Sorgfalt als eine Mittagskarte.

Nutzen Sie nur, was Sie brauchen, und nur so lange, wie Sie es brauchen. Sie erheben einen Vertrag, um ein Arbeitsverhältnis zu verwalten, nicht um ihn für immer auf einem geteilten Laufwerk aufzubewahren, das das halbe Büro lesen kann. Wenn der Grund weg ist, sollte die Datei auch weg sein.

Wissen Sie, wohin die Daten reisen. Jedes Mal, wenn eine Datei Ihre Kontrolle verlässt, sollen Sie wissen, wer sie empfängt und warum. Wenn Sie personenbezogene Daten an einen externen Dienst geben, der sie für Sie verarbeitet, ist dieser Dienst ein Auftragsverarbeiter, und es soll einen Vertrag geben, der regelt, was er damit tun darf.

Seien Sie bereit, sich zu erklären. Wenn etwas schiefgeht, müssen Sie zeigen können, dass Sie angemessene Maßnahmen ergriffen haben. “Ich habe es auf eine kostenlose Website hochgeladen, die ich in den Suchergebnissen gefunden habe” ist keine Maßnahme, die Sie verteidigen wollen.

Wohin die Datei geht, ist Teil des Jobs

Hier ist die Lücke, in die gute Leute tappen. HR-Mitarbeiter denken sorgfältig darüber nach, wer den geteilten Ordner öffnen darf, und führen dann zwei Gehaltsabrechnungen auf der erstbesten PDF-Website zusammen, die sie finden. Die sorgfältige Zugriffskontrolle auf den Ordner bedeutet nichts, wenn die Datei dreißig Sekunden später anderswo hochgeladen wird.

Die meisten Online-PDF-Tools funktionieren so, dass sie Ihre Datei an ihren Server senden, die Operation dort ausführen und das Ergebnis zurückschicken. Die Datei landet auf einer Maschine, die Ihnen nicht gehört, betrieben von einem Unternehmen, das Sie nie geprüft haben, an einem Ort, den Sie nicht benennen können. Vielleicht löschen sie sie planmäßig. Vielleicht behält ein Backup eine Kopie. Vielleicht läuft das Ganze auf gemieteter Infrastruktur, die Ihre Datei durch einen Speicher leitet, von dem Sie nie hören werden. Sie können es nicht überprüfen, und die Person, deren Krankschreibung Sie gerade übers Internet geschickt haben, kann es auch nicht.

Für eine Krankschreibung oder eine Bankbescheinigung ist diese hochgeladene Kopie die Schwachstelle. Eine Datei, die den HR-Laptop nie verlässt, kann bei einem Datenleck, das auf dem Server eines anderen passiert, nicht offengelegt werden.

Die Arbeit auf dem eigenen Gerät erledigen

Es gibt eine Sorte PDF-Tool, die nie etwas hochlädt. Die gesamte Operation läuft im Browser, auf demselben Computer, den Sie ohnehin schon benutzen. Der Code lädt einmal, Ihr PDF öffnet sich im Arbeitsspeicher des Browsers, Sie erledigen die Arbeit, und die fertige Datei speichert direkt zu Ihrer Maschine zurück. Nichts wird hinausgeschickt, weil es keinen Serverschritt gibt, an den man es schicken könnte.

So funktioniert reader.me, und darum eignet es sich für HR-Dokumente. Eine Reihe von Gehaltsabrechnungen kombinieren, ein paar Seiten aus einem Vertrag herausziehen, einen Scan verkleinern, damit er in eine E-Mail passt, all das passiert auf Ihrem Computer. Schließen Sie den Tab, und der Arbeitsspeicher ist damit weg.

Sie müssen mir das nicht glauben. Öffnen Sie die DevTools des Browsers, gehen Sie zum Tab “Network”, führen Sie eine Operation aus und schauen Sie. Keine Anfrage trägt Ihre Datei hinaus. Wenn die Datei in keinem Anfrage-Body steht, wurde sie nirgendwohin gesendet. Das ist die Art von Nachweis, die Artikel 32 mag, weil Sie sie tatsächlich vorführen können.

Zwei Dinge, die sich heute lohnen

Schützen Sie die Dateien, die das Haus verlassen. Wenn Sie eine Gehaltsabrechnung oder einen Vertrag per E-Mail senden, ist die E-Mail selbst nur selten Ende zu Ende sicher. Versehen Sie das PDF zuerst mit einem Passwort, sodass das Dokument für jeden nutzlos ist, der es abfängt oder als falscher Empfänger erhält. Das können Sie auf Ihrem eigenen Gerät mit PDF schützen tun, ganz ohne Upload, und das Passwort über einen separaten Kanal wie einen Telefonanruf weitergeben.

Signieren ohne Drucken und erneutes Einscannen. Verträge und Freigaben brauchen eine Unterschrift, und die alte Routine aus Drucken, Unterschreiben, Scannen, Papier wegwerfen hinterlässt überall lose Kopien. Die Unterschrift direkt zum PDF hinzuzufügen behält eine saubere Datei und überspringt die Papierspur. Das PDF signieren-Tool erledigt das im Browser, sodass der Vertrag zum Unterschreiben nie Ihren Computer verlässt.

Die alltägliche PDF-Arbeit in HR sieht langweilig aus, und das ist die Falle. Zwei Dateien zusammenzuführen oder einen Vertrag zu signieren dauert Sekunden, und in diesen Sekunden bleiben sensible Daten entweder, wo sie sind, oder verschwinden still und leise. Wenn Sie die längere Version davon wollen, wie sich das auswirkt, wenn Dokumente durch ein Lohnbüro oder einen Steuerberater laufen, deckt dieser Beitrag über Gehaltsabrechnungen und Datenschutz das ab. Behalten Sie die Arbeit auf dem Gerät, und die DSGVO-Seite wird deutlich einfacher.