Ist Microsoft OneDrive eine digitale Personalakte? Antwort, Risiken & rechtssichere Alternative

Microsoft OneDrive ist in vielen kleinen und mittleren Unternehmen das zentrale Cloud-Laufwerk – oft im Paket mit Microsoft 365, SharePoint und Teams. Gehältler, Verträge, Krankmeldungen, Bewerbungsunterlagen liegen dort in geordneten Ordnern. Für Geschäftsführer entsteht damit der Eindruck einer modernen, digitalen Personalakte. Rechtlich ist das nicht der Fall – auch wenn OneDrive deutlich enterprise-orientierter ist als Google Drive. Dieser Beitrag erklärt verständlich, warum OneDrive auch in der Microsoft-365-Variante keine digitale Personalakte im Sinne von DSGVO und GoBD ist, was die Microsoft-Compliance-Tools wie Purview leisten – und was sich spätestens bis 2027 ändern muss.

Auf einen Blick: Die kurze Antwort

• Nein, Microsoft OneDrive ist keine digitale Personalakte im rechtlichen Sinn – auch nicht in Kombination mit SharePoint und Microsoft 365.
• Mit Microsoft Purview (in M365 E3/E5) lassen sich Retention Labels, Litigation Hold und eDiscovery konfigurieren – aber nicht out-of-the-box für Personalakten.
• Es fehlen HR-spezifische Dokumentlogik, automatisierte Fristen pro Personaldokument, Mitarbeiter-Self-Service und DATEV-Schnittstellen.
• Spätestens ab dem 1. Januar 2027 reicht eine reine OneDrive-Ablage für lohn- und SV-relevante Unterlagen ohne expliziten GoBD-Nachweis nicht mehr aus.
• Für die meisten KMU ist eine spezialisierte HR-Software – ggf. über SharePoint angebunden – die rechtssichere und langfristig günstigere Lösung.

Was ist eine digitale Personalakte – juristisch betrachtet?

Eine digitale Personalakte ist nicht einfach „der digitale Aktenordner“ im Cloud-Laufwerk. Sie ist ein strukturiertes, rechtssicheres System zur Verwaltung aller mitarbeiterbezogenen Daten über den gesamten Beschäftigungszyklus – vom Bewerbungsprozess bis zur Aufbewahrung nach Ausscheiden. Damit ein System diesen Anspruch erfüllt, muss es mehrere Anforderungen gleichzeitig abdecken:

• Datenschutz nach DSGVO: Zweckbindung, Datenminimierung, Speicherbegrenzung, Integrität und Vertraulichkeit (Art. 5 DSGVO).
• Technisch-organisatorische Maßnahmen (TOMs): Zugriffskontrolle, Verschlüsselung, Protokollierung (Art. 32 DSGVO).
• GoBD-Konformität: Revisionssichere Aufbewahrung, Unveränderbarkeit, Nachvollziehbarkeit für lohnsteuer- und sozialversicherungsrelevante Dokumente.
• Beschäftigtendatenschutz: Berechtigtes Interesse oder Einwilligung als Rechtsgrundlage, dokumentiert.
• Mitbestimmung: Bei Unternehmen mit Betriebsrat zwingend nach § 87 Abs. 1 Nr. 6 BetrVG.

Eine ausführliche Abgrenzung liefert der Beitrag Was gilt als digitale Personalakte? Definition, Inhalte & rechtliche Anforderungen.

Was OneDrive (und Microsoft 365) können – und was nicht

OneDrive for Business ist Teil des Microsoft-365-Stacks und damit einer der enterprise-reifsten Cloud-Dienste überhaupt. Anders als das reine Consumer-OneDrive bietet die Business-Variante eine ganze Reihe an Compliance-Funktionen – vor allem in Verbindung mit Microsoft Purview (früher Microsoft 365 Compliance Center).

Was OneDrive / M365 in mittleren bis hohen Tarifen (Business Premium, E3, E5) liefert:

• Verschlüsselung im Transit (TLS 1.2+) und in der Ablage (BitLocker / per-file keys).
• Auftragsverarbeitungsvertrag (AVV) mit Microsoft Ireland Operations Limited inkl. EU-Datenresidenz-Optionen.
• Zertifizierungen: ISO 27001, ISO 27017, ISO 27018, SOC 1/2/3, BSI C5 (in Teilen).
• Mit Microsoft Purview: Retention Labels, Auto-Apply-Policies, Litigation Hold, eDiscovery (Standard und Premium).
• Sensitivity Labels und Information Protection für klassifizierte Dokumente.
• Audit-Logs (90 Tage Standard, 1 Jahr in E5, länger über Audit Premium).
• Rollenbasierte Zugriffsrechte über Microsoft Entra ID (Azure AD) inkl. Conditional Access und MFA.

Was OneDrive / M365 nicht liefert – und genau das macht den Unterschied zu einer digitalen Personalakte aus:

• Keine HR-Dokumenttyp-Logik (Vertrag, Lohnkonto, Krankschreibung, Abmahnung) out-of-the-box – muss über Sensitivity / Retention Labels manuell modelliert werden.
• Keine Mitarbeiter-Self-Service-Komponente für Lohnzettel, Bescheinigungen, Urlaubskonto.
• Keine DATEV- oder Lohnabrechnungs-Schnittstelle – zentral für KMU mit Steuerberater-Anbindung.
• Kein integriertes Verzeichnis von Verarbeitungstätigkeiten (VVT) speziell für Personaldaten.
• Keine Verfahrensdokumentation als fertiger Output – Purview-Konfigurationen müssen separat dokumentiert werden.
• GoBD-Revisionssicherheit erfordert eine aktive, korrekt konfigurierte Retention-Policy plus testierte Verfahrensdokumentation – ohne diese Konfiguration ist OneDrive nicht GoBD-konform.

Die sechs K.-o.-Kriterien für KMU

1. Zugriffskontrolle ist nicht HR-spezifisch

OneDrive vergibt Berechtigungen über Entra-ID-Gruppen oder direkt pro Datei/Ordner. Für eine echte Personalakte braucht es eine feinere Logik: Lohnsachbearbeitung sieht Lohnkonten, Führungskraft sieht ihre Direct Reports, Mitarbeitende ihre eigenen Dokumente. Diese Logik ist in OneDrive zwar abbildbar – aber nur über aufwändige Custom-Konfiguration mit SharePoint-Listen, Power Automate und manueller Pflege.

2. Aufbewahrungsfristen pro Dokumenttyp sind nicht HR-aware

Personalakten unterliegen Fristen zwischen 6 Monaten (abgelehnte Bewerbungen) und 30 Jahren (betriebliche Altersvorsorge). Purview Retention Labels können Fristen abbilden – aber nur, wenn jedes Dokument korrekt klassifiziert wird. Eine HR-Software erkennt automatisch, dass ein hochgeladenes Dokument eine Lohnabrechnung ist und setzt 6 Jahre. OneDrive nicht. Die vollständige Fristen-Übersicht liefert der Beitrag Aufbewahrungsfristen Personalakte: Komplett-Übersicht für Arbeitgeber.

3. GoBD-Konformität ist nicht der Default

Lohnkonten, Lohnsteueranmeldungen und SV-Belege müssen nach § 147 AO und § 28f SGB IV unveränderbar aufbewahrt werden. OneDrive bietet über Purview einen „Preservation Lock“ – dieser muss aber aktiv aktiviert sein und unterliegt strikten Voraussetzungen. Im Standard-Setup ist eine OneDrive-Ablage nicht GoBD-konform.

4. Verfahrensdokumentation und VVT müssen separat erstellt werden

Für eine GoBD- und DSGVO-konforme Personalakte braucht es eine schriftliche Verfahrensdokumentation, die nachweist, wie Eingang, Erfassung, Aufbewahrung und Löschung organisiert sind. Purview liefert die technischen Bausteine, aber kein fertiges Verfahrensdokument – das muss IT-, HR- und Compliance-übergreifend selbst geschrieben werden.

5. Kein HR-Self-Service

Eine moderne Personalakte gibt Beschäftigten Zugriff auf ihre eigenen Dokumente: Lohnzettel, Bescheinigungen, Urlaubskonto, eAU-Status. In OneDrive müsste pro Mitarbeitendem ein eigener Bereich aufgebaut und Berechtigungen manuell gepflegt werden. Für 5-10 Personen funktioniert das, ab 20+ wird es fehleranfällig.

6. Lizenzkosten der hohen Compliance-Tarife

Die rechtlich relevanten Funktionen (Purview, eDiscovery Premium, längere Audit-Aufbewahrung) sind in M365 E5 oder über Add-ons enthalten. Für ein 20-Personen-Unternehmen ergeben sich daraus schnell Mehrkosten von 30-50 € pro Mitarbeiter und Monat. Eine spezialisierte HR-Software ist meist günstiger – und liefert die HR-Logik direkt mit.

Direkter Vergleich: OneDrive vs. echte digitale Personalakte

Wann OneDrive im HR-Kontext ausreichen kann

OneDrive ist ein hervorragendes Werkzeug für HR-Wissen: Vertragsvorlagen, Stellenausschreibungen, Schulungsunterlagen, Onboarding-Material, Präsentationen aus Mitarbeiterversammlungen. Hier liegt der Fokus auf Kollaboration, nicht auf personenbezogener Aufbewahrungspflicht.

Auch sehr kleine Unternehmen (1-3 Mitarbeitende) können mit einer sauber konfigurierten OneDrive-/SharePoint-Struktur in Kombination mit GoBD-konformer Buchhaltung und einer dokumentierten Verfahrensanweisung übergangsweise arbeiten. Spätestens beim ersten Wachstumsschritt – oder mit dem 1. Januar 2027 – stoßt dieses Setup an seine Grenzen.

Was sich 2027 ändert – und warum jetzt der richtige Zeitpunkt ist

Mit der Pflicht zur ausschließlich elektronischen Aufbewahrung lohnsteuer- und SV-relevanter Unterlagen ab dem 1. Januar 2027 wird klar: Wer auf einer reinen OneDrive-Lösung sitzt, ohne Purview-Konfiguration und ohne Verfahrensdokumentation, ist ab diesem Stichtag nicht mehr compliant. Die Ausnahme- und Befreiungsanträge bei der Deutschen Rentenversicherung enden am 31. Dezember 2026.

Hintergründe und konkrete Pflichten beschreibt der Beitrag Digitale Personalakte ab 2027: Pflicht, Umfang & Folgen für Arbeitgeber. Wer einen praxistauglichen Migrationspfad sucht, findet ihn im 6-Phasen-Modell unter Digitale Personalakte aufbauen: Best Practice, Phasenplan & Zeitbedarf.

Die typischen Risiken einer „OneDrive-Personalakte“

• Bußgelder bei DSGVO-Verstößen: bis zu 4 % des Konzernumsatzes oder 20 Mio. € (Art. 83 DSGVO).
• Nachforderungen bei Betriebsprüfungen: Wenn Lohnunterlagen nicht GoBD-konform vorliegen, können SV-Beiträge geschätzt und nachgefordert werden.
• Reputationsschaden bei Datenpannen: Falsch konfigurierte Sharing Links sind eine der häufigsten Ursachen für meldepflichtige Vorfälle in Microsoft 365.
• Lizenz-Überraschung: Die benötigten Compliance-Funktionen sind oft nur in M365 E5 enthalten – ein Upgrade für alle Nutzer kann teurer sein als eine HR-Software.
• Mitbestimmungs-Konflikte: Purview-Audit-Logs können ohne Betriebsvereinbarung als unzulässige Mitarbeiterüberwachung gelten.

Empfehlung für Geschäftsführer

Die pragmatische Reihenfolge für KMU sieht so aus: Erst klären, ob OneDrive / SharePoint die strategische Plattform bleibt – das ist meist der Fall, weil M365 ohnehin eingeführt ist. Anschließend abgrenzen, was in OneDrive liegen darf (HR-Wissen, Vorlagen, Kollaboration) und was nicht (personenbezogene Akten, Lohnunterlagen, Schwerbehinderten-Daten).

Für die Personalakte selbst eine spezialisierte Lösung einführen, die GoBD- und DSGVO-konform ist und sich über SharePoint-Connector, Microsoft Graph oder SSO mit Entra ID in die bestehende M365-Welt integriert. Schnittstellen zu Lohnabrechnung, DATEV und Buchhaltung sind dabei genauso wichtig wie die HR-Logik selbst.

Der entscheidende Punkt: Eine digitale Personalakte ist kein IT-Projekt, sondern ein Compliance-Projekt mit IT-Anteil. Der Aufwand für eine saubere Migration liegt in einem typischen 20-Personen-Unternehmen bei 6-10 Wochen – inklusive Verfahrensdokumentation, Betriebsvereinbarung und Schulung.

OneDrive vs. Google Drive, Dropbox & DMS im HR-Kontext

OneDrive ist enterprise-reifer als Google Drive: bessere Compliance-Tools, ausgereifteres Identity-Management, längere Audit-Aufbewahrung. Aber: Beide Lösungen sind generische Cloud-Speicher ohne HR-Logik. Die parallele Analyse zu Google Drive findet sich im Beitrag Ist Google Drive eine digitale Personalakte?. Auch Dropbox Business und Advanced sind funktional auf vergleichbarer Augenhöhe – das Detailbild liefert Ist Dropbox eine digitale Personalakte?. Wer eine Plattform sucht, die näher an einer echten Personalakte ist, sollte ein Dokumenten-Management-System (DMS) erwägen – mehr dazu im Beitrag Digitale Personalakte vs. DMS: Wann reicht ein DMS?.

Fazit: M365 ist Plattform, keine Personalakte

Microsoft OneDrive und das gesamte Microsoft-365-Ökosystem sind starke Plattformen für Zusammenarbeit, Dokumentenmanagement und Wissensarbeit. Eine digitale Personalakte im rechtlichen Sinn sind sie nicht – selbst mit Purview-Konfiguration nicht out-of-the-box. Wer Personalakten heute primär in OneDrive führt, hat ein latentes Compliance-Risiko, das mit dem Stichtag 1. Januar 2027 manifest wird. Geschäftsführer kleiner und mittlerer Unternehmen, die jetzt handeln, vermeiden Bußgelder, Nachforderungen und Reputationsschäden – und gewinnen ganz nebenbei spürbar Effizienz im HR-Tagesgeschäft.

Sie nutzen OneDrive oder Microsoft 365 für Personaldokumente und sind unsicher, ob Ihr Setup 2027-fest ist?

Taxmaro analysiert Ihre aktuelle Microsoft-365-Konfiguration, erstellt eine GoBD-/DSGVO-Risikobewertung inklusive Purview-Check und liefert einen konkreten Migrationspfad zur rechtssicheren digitalen Personalakte – inklusive Verfahrensdokumentation, Betriebsvereinbarung und Schulung.

→ Vereinbaren Sie ein kostenloses Erstgespräch und erhalten Sie eine individuelle Empfehlung für Ihr Unternehmen.