Dropbox Business und Advanced sind starke Cloud-Speicher, aber keine digitale Personalakte. Warum HR-Logik, GoBD-Konformität und Mitarbeiter-Self-Service fehlen – und welche Lösung KMU bis 2027 brauchen.
Dropbox gehört zu den ältesten und beliebtesten Cloud-Speichern – viele KMU nutzen Dropbox Business oder Dropbox Advanced für Verträge, Lohnabrechnungen, Bewerbungen und vertrauliche HR-Dokumente. Wer alle Personalakten in einer sauberen Ordnerstruktur ablegt, denkt schnell: Das ist meine digitale Personalakte. Rechtlich ist das nicht der Fall. Dieser Beitrag erklärt verständlich, warum Dropbox auch in der Business-Variante keine digitale Personalakte im Sinne von DSGVO und GoBD ist – und was sich spätestens bis 2027 ändern muss.
Eine digitale Personalakte ist nicht einfach „der digitale Aktenordner“. Sie ist ein strukturiertes, rechtssicheres System zur Verwaltung aller mitarbeiterbezogenen Daten über den gesamten Beschäftigungszyklus – vom Bewerbungsprozess bis zur Aufbewahrung nach Ausscheiden. Damit ein System diesen Anspruch erfüllt, muss es mehrere Anforderungen gleichzeitig abdecken:
Eine ausführliche Abgrenzung liefert der Beitrag Was gilt als digitale Personalakte? Definition, Inhalte & rechtliche Anforderungen.
Dropbox Business und Dropbox Advanced sind ausgereifte Cloud-Speicher mit ordentlichem Sicherheits- und Compliance-Niveau. Für Kollaboration, Dateiaustausch mit externen Partnern und mobile Verfügbarkeit ist Dropbox eine starke Lösung. Für die strukturierte Personalaktenführung fehlen jedoch wichtige Bausteine.
Was Dropbox Business liefert:
Was Dropbox nicht liefert – und genau das macht den Unterschied zu einer digitalen Personalakte aus:
Dropbox vergibt Berechtigungen über Team-Ordner, Gruppen und manuelle Datei-Freigaben. Eine echte Personalakte braucht differenzierte Logik: Lohnsachbearbeiterin sieht Lohnkonten, Führungskraft sieht ihre Direct Reports, Mitarbeitende ihre eigenen Dokumente. Diese Logik ist in Dropbox nur über aufwändige Custom-Konfiguration und manuelle Pflege erreichbar – und damit fehleranfällig.
Personalakten unterliegen Fristen zwischen 6 Monaten (abgelehnte Bewerbungen) und 30 Jahren (betriebliche Altersvorsorge). Dropbox kennt diese Fristen nicht, hat keine Auto-Apply-Policies wie Microsoft Purview und keine Dokumenttyp-basierte Löschautomatik. Manuelle Excel-Listen sind in Praxis und Prüfung nicht haltbar. Die vollständige Fristen-Übersicht liefert der Beitrag Aufbewahrungsfristen Personalakte: Komplett-Übersicht für Arbeitgeber.
Lohnkonten, Lohnsteueranmeldungen und SV-Belege müssen nach § 147 AO und § 28f SGB IV unveränderbar aufbewahrt werden. Der Versionsverlauf von Dropbox schützt vor versehentlichem Überschreiben – ist aber kein systemischer Schutz gegen Manipulation und damit nicht GoBD-konform. Auch Advanced-Tarife liefern keine zertifizierte revisionssichere Archivierung.
Bei einer DSGVO-Auskunftsanfrage nach Art. 15 muss der Arbeitgeber vollständig auflisten, welche Daten zu einer Person gespeichert sind, wer wann Zugriff hatte und wann gelöscht wurde. Dropbox bietet zwar File-Activity-Logs, aber keine strukturierten Auskunftsexporte für eine bestimmte Person.
Eine moderne Personalakte gibt Beschäftigten Zugriff auf ihre eigenen Dokumente: Lohnzettel, Urlaubskonto, Bescheinigungen, eAU-Status. In Dropbox müsste pro Person ein eigener freigegebener Ordner aufgebaut werden – die Verwaltung skaliert nicht und führt zu Berechtigungsfehlern.
Wenn ein Betriebsrat existiert, ist die Einführung einer umfassenden Cloud-Ablage mit personenbezogenen Daten mitbestimmungspflichtig. Eine reine Dropbox-Lösung wird in der Praxis selten ordentlich dokumentiert – das birgt Konfliktpotenzial.
| Kriterium | Dropbox Business / Advanced | Digitale Personalakte |
|---|---|---|
| Verschlüsselung & Zertifizierung | Ja (ISO 27001/17/18, SOC) | Ja |
| Auftragsverarbeitungsvertrag (AVV) | Ja (Dropbox Ireland) | Ja |
| Rollenbasierte Zugriffsrechte | Über Gruppen/Ordner, generisch | Ja, HR-spezifisch |
| Dokumenttyp-Klassifikation | Nein | Ja, automatisch |
| Automatische Aufbewahrungsfristen | Nein (Data Governance Add-on begrenzt) | Ja, je Dokumenttyp |
| Litigation Hold | Nur über Add-on / Drittlösung | Ja |
| Revisionssicherheit nach GoBD | Nein (nur Versionierung) | Ja, systemisch |
| DSGVO-Auskunftsexport | Manuell | Auf Knopfdruck |
| Mitarbeiter-Self-Service | Nein | Ja |
| DATEV- / Lohnabrechnungs-Schnittstelle | Nein | Ja |
| Verfahrensdokumentation | Selbst zu erstellen | Im System enthalten |
Dropbox ist nicht generell falsch – es hat klare Einsatzgebiete: Vertragsvorlagen, Stellenausschreibungen, Schulungsunterlagen, Onboarding-Material, Kollaboration mit externen Beratern oder Steuerbüros. Hier liegt der Fokus auf Wissen und Austausch, nicht auf personenbezogenen Aufbewahrungspflichten.
Auch bei sehr kleinen Unternehmen (1-3 Mitarbeitende) ohne lohnsteuerlich relevante Komplexität kann eine sauber dokumentierte Dropbox-Struktur in Kombination mit GoBD-konformer Buchhaltungssoftware übergangsweise tragbar sein. Spätestens beim Wachstumsschritt oder mit dem 1. Januar 2027 endet diese Toleranz.
Mit der Pflicht zur ausschließlich elektronischen Aufbewahrung lohnsteuer- und SV-relevanter Unterlagen ab dem 1. Januar 2027 wird klar: Wer auf einer reinen Dropbox-Lösung sitzt, ist ab diesem Stichtag nicht mehr compliant, weil GoBD-Konformität fehlt. Die Ausnahme- und Befreiungsanträge bei der Deutschen Rentenversicherung enden am 31. Dezember 2026.
Hintergründe und konkrete Pflichten beschreibt der Beitrag Digitale Personalakte ab 2027: Pflicht, Umfang & Folgen für Arbeitgeber. Wer einen praxistauglichen Migrationspfad sucht, findet ihn im 6-Phasen-Modell unter Digitale Personalakte aufbauen: Best Practice, Phasenplan & Zeitbedarf.
Die pragmatische Reihenfolge für KMU sieht so aus: Erst entscheiden, ob Dropbox die strategische Plattform bleibt oder ob ohnehin eine Migration zu Microsoft 365 oder Google Workspace ansteht. Anschließend abgrenzen, was in Dropbox liegen darf (HR-Wissen, Vorlagen, Kollaboration) und was nicht (personenbezogene Akten, Lohnunterlagen).
Für die Personalakte selbst eine spezialisierte Lösung einführen, die GoBD- und DSGVO-konform ist und die Schnittstellen zu Lohnabrechnung, DATEV und Buchhaltung sauber abdeckt. Der Aufwand für eine saubere Migration liegt in einem typischen 20-Personen-Unternehmen bei 6-10 Wochen – inklusive Verfahrensdokumentation, Betriebsvereinbarung und Schulung.
Alle drei Cloud-Speicher haben gemeinsam, dass sie keine HR-spezifische Logik mitbringen. OneDrive ist mit Microsoft Purview am ehesten compliance-erweiterbar, Google Drive deckt die Basics ab, Dropbox liegt funktional dazwischen. Die parallelen Analysen finden sich in den Beiträgen Ist Google Drive eine digitale Personalakte? und Ist Microsoft OneDrive eine digitale Personalakte?. Wer eine Plattform sucht, die näher an einer Personalakte ist, sollte ein Dokumenten-Management-System (DMS) erwägen – mehr dazu im Beitrag Digitale Personalakte vs. DMS.
Dropbox Business ist ein guter Cloud-Speicher und ein nützliches Werkzeug für viele HR-nahe Aufgaben. Eine digitale Personalakte im rechtlichen Sinn ist es nicht – und kann es auch mit noch so sauberer Ordnerstruktur nicht werden. Wer Personalakten heute primär in Dropbox führt, hat ein latentes Compliance-Risiko, das mit dem Stichtag 1. Januar 2027 manifest wird. Geschäftsführer kleiner und mittlerer Unternehmen, die jetzt handeln, vermeiden Bußgelder, Nachforderungen und Reputationsschäden – und gewinnen ganz nebenbei spürbar Effizienz im HR-Tagesgeschäft.
Sie nutzen Dropbox für Personaldokumente und sind unsicher, ob Ihr Setup 2027-fest ist?
Taxmaro analysiert Ihre aktuelle Ablage, erstellt eine GoBD-/DSGVO-Risikobewertung und liefert einen konkreten Migrationspfad zur rechtssicheren digitalen Personalakte – inklusive Verfahrensdokumentation, Schulung und Begleitung bis zum Go-Live.
→ Vereinbaren Sie ein kostenloses Erstgespräch und erhalten Sie eine individuelle Empfehlung für Ihr Unternehmen.
