Brauche ich einen Auftragsverarbeitungsvertrag, wenn ich die Baulohnabrechnung auslagere?

Ja, zwingend. Wenn Sie einen externen Dienstleister mit der Lohnabrechnung beauftragen, verarbeitet dieser personenbezogene Daten in Ihrem Auftrag. Nach Art. 28 DSGVO ist ein Auftragsverarbeitungsvertrag (AVV) gesetzlich vorgeschrieben. Ohne AVV drohen Bußgelder bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes.

Welche Lohndaten gelten als besonders schützenswert?

Gesundheitsdaten (Krankmeldungen, Arbeitsunfähigkeitsbescheinigungen), Angaben zur Gewerkschaftszugehörigkeit, Religionszugehörigkeit (relevant für Kirchensteuer) und biometrische Daten (bei Fingerabdruck-Zeiterfassung) gelten als besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO und unterliegen einem erhöhten Schutzniveau.

Wie lange dürfen Lohnabrechnungen aufbewahrt werden?

Lohnunterlagen müssen gemäß steuer- und sozialversicherungsrechtlicher Vorschriften 6 bzw. 10 Jahre aufbewahrt werden. Nach Ablauf dieser Fristen müssen die Daten gelöscht werden, sofern kein anderer Aufbewahrungsgrund besteht. Ein Löschkonzept ist daher Pflicht.

Darf ich Mitarbeiterdaten an die SOKA-BAU übermitteln?

Ja, die Übermittlung von Mitarbeiterdaten an die SOKA-BAU ist datenschutzrechtlich zulässig. Die Rechtsgrundlage ergibt sich aus Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung), da die SOKA-BAU-Meldung auf dem allgemeinverbindlichen Tarifvertrag basiert.

Was muss ich bei der digitalen Zeiterfassung auf der Baustelle datenschutzrechtlich beachten?

Sie benötigen eine Rechtsgrundlage (Arbeitsvertrag/Betriebsvereinbarung), müssen die Mitarbeiter vorab informieren, dürfen nur erforderliche Daten erheben (Datensparsamkeit), müssen bei GPS-Erfassung eine Datenschutzfolgenabschätzung durchführen und bei biometrischen Verfahren die ausdrückliche Einwilligung einholen.

DSGVO in der Baulohnabrechnung: Datenschutz bei Lohndaten, Zeiterfassung und Outsourcing

Die Baulohnabrechnung verarbeitet hochsensible personenbezogene Daten — von Gehaltsinformationen über Gesundheitsdaten bis hin zu Standortdaten bei digitaler Zeiterfassung. Die DSGVO stellt klare Anforderungen an den Umgang mit diesen Daten. Für Bauunternehmen, die ihre Lohnabrechnung digital führen oder auslagern, ist Datenschutz-Compliance kein optionales Extra, sondern Pflicht.

Personenbezogene Daten in der Baulohnabrechnung

Welche Daten werden verarbeitet?

Die Baulohnabrechnung erfordert die Verarbeitung einer Vielzahl personenbezogener Daten:

Stammdaten:

Name, Adresse, Geburtsdatum
Sozialversicherungsnummer
Steuer-ID und Steuerklasse
Bankverbindung
Staatsangehörigkeit
Familienstand und Kinderzahl

Abrechnungsdaten:

Bruttolohn und Gehaltsbestandteile
Arbeitszeiten und Überstunden
Fehlzeiten (Urlaub, Krankheit, Kurzarbeit)
Zuschläge und Zulagen
Pfändungen und Abtretungen

Besondere Kategorien (Art. 9 DSGVO):

Gesundheitsdaten — Krankmeldungen, AU-Bescheinigungen, Arbeitsunfälle
Gewerkschaftszugehörigkeit — relevant für Tarifanwendung
Religionszugehörigkeit — für Kirchensteuereinbehalt
Biometrische Daten — bei Fingerabdruck-Zeiterfassung

Rechtsgrundlagen der Verarbeitung

Datenart	Rechtsgrundlage	DSGVO-Artikel
Lohnabrechnung allgemein	Vertragserfüllung	Art. 6 Abs. 1 lit. b
Steuerliche Pflichten	Rechtliche Verpflichtung	Art. 6 Abs. 1 lit. c
SV-Meldungen	Rechtliche Verpflichtung	Art. 6 Abs. 1 lit. c
SOKA-BAU-Meldungen	Rechtliche Verpflichtung	Art. 6 Abs. 1 lit. c
Gesundheitsdaten	Beschäftigtenrecht	Art. 9 Abs. 2 lit. b
GPS-Zeiterfassung	Berechtigtes Interesse/Betriebsvereinbarung	Art. 6 Abs. 1 lit. f

DSGVO bei der Auslagerung der Baulohnabrechnung

Auftragsverarbeitung nach Art. 28 DSGVO

Wenn Sie die Baulohnabrechnung an einen externen Dienstleister auslagern, liegt eine Auftragsverarbeitung vor. Der Dienstleister verarbeitet personenbezogene Daten in Ihrem Auftrag und nach Ihrer Weisung.

Der Auftragsverarbeitungsvertrag (AVV)

Ein AVV ist zwingend erforderlich und muss folgende Inhalte haben:

Pflichtinhalte nach Art. 28 Abs. 3 DSGVO:

Gegenstand und Dauer der Verarbeitung
Art und Zweck der Verarbeitung
Art der personenbezogenen Daten
Kategorien betroffener Personen
Pflichten und Rechte des Verantwortlichen
Technische und organisatorische Maßnahmen (TOMs)
Regelung zum Einsatz von Unterauftragsverarbeitern
Unterstützung bei Betroffenenrechten
Löschung/Rückgabe nach Vertragsende
Kontrollrechte des Auftraggebers

Auswahl des Dienstleisters

Als Auftraggeber sind Sie verpflichtet, sich von der Zuverlässigkeit des Dienstleisters zu überzeugen:

Prüfpunkte:

Verfügt der Dienstleister über einen Datenschutzbeauftragten?
Sind die technischen und organisatorischen Maßnahmen dokumentiert?
Werden Daten in der EU/EWR verarbeitet (oder liegt ein Angemessenheitsbeschluss vor)?
Gibt es Zertifizierungen (z. B. ISO 27001)?
Ist ein AVV-Entwurf vorhanden und vollständig?
Wie wird die Vertraulichkeit der Mitarbeiter des Dienstleisters sichergestellt?

Datenübermittlung an den Dienstleister

Die Übermittlung von Lohndaten muss verschlüsselt erfolgen:

E-Mail: Nur mit Ende-zu-Ende-Verschlüsselung (nicht per unverschlüsselter E-Mail)
Online-Portal: HTTPS-verschlüsselt mit Zwei-Faktor-Authentifizierung
SFTP/VPN: Für regelmäßige Datentransfers
USB-Stick/Post: Nur verschlüsselt und als Ausnahme

Digitale Zeiterfassung und Datenschutz

Besondere Risiken der digitalen Zeiterfassung

Die digitale Zeiterfassung auf Baustellen bringt spezifische Datenschutzrisiken mit sich:

Erfassungsmethode	Datenschutzrisiko	Maßnahmen
App mit GPS	Standortüberwachung	Nur bei Ein-/Ausstempeln erfassen
Fingerabdruck-Terminal	Biometrische Daten (Art. 9)	Einwilligung + Alternative anbieten
Gesichtserkennung	Biometrische Daten (Art. 9)	Besonders hohe Hürden
RFID-Chip	Geringes Risiko	Standardmaßnahmen ausreichend
Smartphone-App	Gerätezugriff auf Privatgerät	BYOD-Richtlinie erforderlich

GPS-Erfassung: Datenschutzfolgenabschätzung

Bei GPS-basierter Zeiterfassung ist eine Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich, da:

Eine systematische Überwachung öffentlich zugänglicher Bereiche vorliegen kann
Standortdaten kontinuierlich oder regelmäßig erfasst werden
Die Verarbeitung in großem Umfang stattfindet

Inhalte der DSFA:

Beschreibung der Verarbeitungsvorgänge
Bewertung der Notwendigkeit und Verhältnismäßigkeit
Bewertung der Risiken für die Rechte der Betroffenen
Geplante Abhilfemaßnahmen und Sicherheitsvorkehrungen

Biometrische Zeiterfassung

Fingerabdruck- oder Gesichtserkennung zur Zeiterfassung verarbeitet biometrische Daten (Art. 9 DSGVO). Dies erfordert:

Ausdrückliche Einwilligung jedes betroffenen Mitarbeiters
Eine alternative Erfassungsmethode (z. B. PIN-Eingabe) für Mitarbeiter, die nicht einwilligen
Besondere technische Maßnahmen (Verschlüsselung, Zugriffsbeschränkung)

Praxistipp: Vermeiden Sie biometrische Zeiterfassung, wenn möglich. RFID-Chips bieten ein ähnliches Sicherheitsniveau mit deutlich geringerem Datenschutzrisiko.

Informationspflichten gegenüber Mitarbeitern

Was müssen Sie Ihren Mitarbeitern mitteilen?

Nach Art. 13 DSGVO müssen Sie Ihre Mitarbeiter vor Beginn der Datenverarbeitung informieren über:

Verantwortlicher: Name und Kontaktdaten Ihres Unternehmens
Datenschutzbeauftragter: Kontaktdaten (falls vorhanden)
Zweck und Rechtsgrundlage der Verarbeitung
Empfänger: An wen werden Daten weitergegeben (Finanzamt, Krankenkassen, SOKA-BAU, BG BAU, ggf. externer Dienstleister)
Speicherdauer: Wie lange werden die Daten aufbewahrt
Betroffenenrechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch
Beschwerderecht: Recht auf Beschwerde bei der Aufsichtsbehörde

Praktische Umsetzung

Erstellen Sie eine Datenschutzinformation für Beschäftigte, die:

Bei Einstellung ausgehändigt wird
Bei Änderungen (z. B. Einführung GPS-Zeiterfassung) aktualisiert wird
In verständlicher Sprache verfasst ist
Schriftlich bestätigt wird (Empfangsbestätigung)

Aufbewahrungsfristen und Löschkonzept

Gesetzliche Aufbewahrungspflichten

Dokumentenart	Aufbewahrungsfrist	Rechtsgrundlage
Lohnkonten und Lohnunterlagen	6 Jahre	§ 41 Abs. 1 EStG
Buchungsbelege	10 Jahre	§ 147 AO
SV-Meldungen und Beitragsnachweise	5 Jahre (nach Ende des Kalenderjahres)	§ 28f SGB IV
Arbeitszeitnachweise (Mindestlohn)	2 Jahre	§ 17 MiLoG
BG BAU-Lohnnachweise	5 Jahre	SGB VII
SOKA-BAU-Meldungen	5 Jahre	Empfehlung

Löschkonzept erstellen

Nach Ablauf der Aufbewahrungsfristen müssen personenbezogene Daten gelöscht werden. Ein Löschkonzept umfasst:

Kategorisierung aller Datenarten mit Aufbewahrungsfristen
Regelmäßige Prüfung (mindestens jährlich), welche Daten die Frist überschritten haben
Sichere Löschung (nicht nur Verschieben in den Papierkorb)
Dokumentation der durchgeführten Löschungen

Datenübermittlung an Dritte

Berechtigte Empfänger von Lohndaten

Im Rahmen der Baulohnabrechnung werden Daten an verschiedene Stellen übermittelt:

Empfänger	Daten	Rechtsgrundlage
Finanzamt	Lohnsteuer, Kirchensteuer	§ 41a EStG
Krankenkassen	SV-Meldungen, Beitragsnachweise	§ 28a SGB IV
SOKA-BAU	Bruttolöhne, Beschäftigungsdaten	VTV (allgemeinverbindlich)
BG BAU	Lohnsummen, Unfallanzeigen	SGB VII
Bundesagentur für Arbeit	Saison-KUG, Wintergeld	SGB III
Pfändungsgläubiger	Pfändungsbeträge	ZPO

Alle diese Übermittlungen sind durch gesetzliche Verpflichtungen gedeckt und erfordern keine Einwilligung des Arbeitnehmers.

Unzulässige Datenübermittlungen

Nicht zulässig ohne spezifische Rechtsgrundlage:

Weitergabe von Lohndaten an andere Arbeitgeber (Ausnahme: ULAK-Verfahren bei Arbeitgeberwechsel)
Übermittlung an Auftraggeber/Generalunternehmer
Auskünfte an Familienangehörige
Veröffentlichung von Gehaltsdaten

Betriebsrat und Datenschutz

Mitbestimmung bei der Datenverarbeitung

Falls ein Betriebsrat vorhanden ist, hat dieser bei der Einführung und Anwendung technischer Einrichtungen, die das Verhalten oder die Leistung der Arbeitnehmer überwachen können, ein Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG):

Einführung digitaler Zeiterfassung
GPS-Tracking
Nutzung von Mandantenportalen
Zugriff auf digitale Personalakten

Betriebsvereinbarung als Rechtsgrundlage

Eine Betriebsvereinbarung kann als Rechtsgrundlage für die Datenverarbeitung dienen und gleichzeitig die Datenschutzrechte der Arbeitnehmer konkretisieren:

Zweck der Datenverarbeitung festlegen
Zugriffsbeschränkungen definieren
Auswertungsmöglichkeiten begrenzen
Löschfristen vereinbaren

Bußgelder und Sanktionen

DSGVO-Bußgelder

Verstoß	Maximales Bußgeld
Fehlender AVV	Bis zu 10 Mio. € oder 2 % des Jahresumsatzes
Fehlende technische Maßnahmen	Bis zu 10 Mio. € oder 2 % des Jahresumsatzes
Verletzung von Betroffenenrechten	Bis zu 20 Mio. € oder 4 % des Jahresumsatzes
Unzulässige Datenübermittlung	Bis zu 20 Mio. € oder 4 % des Jahresumsatzes

Praxis der Aufsichtsbehörden

In der Praxis verhängen die Aufsichtsbehörden Bußgelder insbesondere bei:

Fehlendem Auftragsverarbeitungsvertrag mit dem Lohndienstleister
Unverschlüsselter Übermittlung von Lohndaten per E-Mail
Fehlender Information der Mitarbeiter über die Datenverarbeitung
Überschreitung von Aufbewahrungsfristen ohne Löschung
Unzureichenden technischen Schutzmaßnahmen

Checkliste: Datenschutz in der Baulohnabrechnung

Allgemeine Maßnahmen

Verarbeitungsverzeichnis erstellt (Art. 30 DSGVO)
Datenschutzinformation für Beschäftigte ausgehändigt
Löschkonzept definiert und implementiert
Technische und organisatorische Maßnahmen dokumentiert

Bei Auslagerung

Auftragsverarbeitungsvertrag (AVV) abgeschlossen
Dienstleister auf Zuverlässigkeit geprüft
Verschlüsselte Datenübertragung sichergestellt
Kontrollrechte vertraglich vereinbart

Bei digitaler Zeiterfassung

Datenschutzfolgenabschätzung durchgeführt (bei GPS)
Mitarbeiter informiert
Betriebsrat beteiligt (falls vorhanden)
Keine biometrischen Daten ohne Einwilligung und Alternative

Fazit

Der Datenschutz in der Baulohnabrechnung ist kein bürokratisches Hindernis, sondern schützt die sensiblen Daten Ihrer Mitarbeiter und Ihr Unternehmen vor empfindlichen Bußgeldern. Die DSGVO-Compliance erfordert klare Prozesse, aktuelle Verträge und technische Schutzmaßnahmen.

Seriöse Baulohn-Dienstleister bringen nicht nur Fachkompetenz in der Abrechnung mit, sondern auch eine DSGVO-konforme Infrastruktur: verschlüsselte Portale, aktuelle AVVs, zertifizierte Rechenzentren und etablierte Löschkonzepte. Bei der Auswahl eines Dienstleisters sollte der Datenschutz daher ein zentrales Auswahlkriterium sein.