Spesenabrechnung und Datenschutz: DSG, Aufbewahrung und Zugriffskontrolle

Definition8 min LesezeitAktualisiert 20. April 2026

Spesenbelege enthalten Personendaten und unterliegen dem Schweizer DSG – Aufbewahrung, Zugriffskontrolle und Datensparsamkeit müssen geregelt sein; nach 10 Jahren ist sofort zu löschen. Das revidierte Datenschutzgesetz (DSG), das am 1. September 2023 in Kraft getreten ist, stellt an die Bearbeitung von Personendaten in Spesenabrechnungen dieselben Anforderungen wie an jede andere Datenbearbeitung im Unternehmen. Für HR-Verantwortliche und Datenschutzbeauftragte ergibt sich daraus ein Spannungsfeld zwischen der 10-jährigen Aufbewahrungspflicht nach OR und dem Gebot, Daten nur so lange wie nötig aufzubewahren.

Die wichtigsten Infos auf einen Blick

1.Spesenbelege enthalten Personendaten wie Name, Aufenthaltsorte, Kreditkartendaten und Geschäftspartner-Namen, die dem revidierten Schweizer DSG (seit 1. September 2023) unterstehen.

2.Die Bearbeitung von Spesendaten ist nur zum Zweck der Spesenabrechnung und der gesetzlichen Buchführungspflicht zulässig.

3.Die Aufbewahrungspflicht von 10 Jahren gemäss Art. 958f OR hat Vorrang vor dem DSG-Grundsatz der Datensparsamkeit.

4.Nach Ablauf der 10-jährigen Aufbewahrungsfrist sind sämtliche Spesendaten unverzüglich und nachweisbar zu löschen.

5.Der Zugriff auf Spesendaten ist technisch auf diejenigen Personen zu beschränken, die ihn für ihre Aufgabe zwingend benötigen.

01.Welche Personendaten in Spesenabrechnungen enthalten sind

Eine Spesenabrechnung ist weit mehr als eine Auflistung von Beträgen. Sie enthält eine Vielzahl von Personendaten im Sinne von Art. 5 lit. a DSG – also Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Bereits ein einzelner Restaurantbeleg kann den Namen der abrechnenden Person, den Aufenthaltsort, das Datum und unter Umständen den Namen eines Geschäftspartners offenlegen.

Name und Personalnummer: Jede Spesenabrechnung ist einer bestimmten Arbeitnehmerin oder einem bestimmten Arbeitnehmer zugeordnet und enthält mindestens den vollständigen Namen sowie häufig die Personalnummer.
Kreditkarten- und Bankdaten: Firmenkreditkarten-Abrechnungen zeigen teilweise die vollständige Kartennummer, den Karteninhaber und die Transaktionsdetails. Diese Daten sind besonders schützenswert.
Aufenthaltsorte und Reisedaten: Hotel- und Transportbelege dokumentieren, wo sich eine Person zu welchem Zeitpunkt aufgehalten hat. Daraus lassen sich Bewegungsprofile ableiten.
Namen von Geschäftspartnern: Bei Bewirtungsbelegen und Repräsentationsspesen werden regelmässig die Namen der eingeladenen Personen erfasst. Damit sind auch Dritte betroffen.
Beträge und Kategorien: Die Kombination aus Betrag, Kategorie (z. B. Arztbesuch auf Geschäftsreise) und Datum kann Rückschlüsse auf persönliche Umstände zulassen.

Entscheidend ist: Auch wenn einzelne Angaben für sich genommen harmlos erscheinen, kann ihre Kombination ein detailliertes Bild einer Person ergeben. Das DSG schützt nicht nur offensichtlich sensible Daten, sondern alle Informationen, die einer Person zugeordnet werden können.

Wichtigste Punkte:

Spesenabrechnungen enthalten regelmässig Name, Aufenthaltsorte, Kreditkartendaten und Namen Dritter.

Bereits ein einzelner Beleg kann mehrere Personendaten im Sinne von Art. 5 lit. a DSG offenlegen.

Die Kombination verschiedener Spesenangaben kann Bewegungsprofile und persönliche Rückschlüsse ermöglichen.

02.Was das Schweizer DSG verlangt

Das revidierte DSG formuliert Grundsätze, die direkt auf die Bearbeitung von Spesendaten anwendbar sind. Unternehmen müssen diese Grundsätze nicht nur kennen, sondern aktiv umsetzen und dokumentieren können. Ein blosser Verweis auf das Spesenreglement genügt nicht.

DSG-Grundsatz	Gesetzliche Grundlage	Bedeutung für Spesendaten
Zweckbindung	Art. 6 Abs. 3 DSG	Spesendaten dürfen nur für die Spesenabrechnung, die Buchführung und die Steuerprüfung verwendet werden – nicht für Leistungsbeurteilungen oder Verhaltensanalysen.
Verhältnismässigkeit	Art. 6 Abs. 2 DSG	Es dürfen nur diejenigen Daten erhoben werden, die für die Spesenabrechnung tatsächlich erforderlich sind.
Datensicherheit	Art. 8 DSG	Spesendaten sind durch angemessene technische und organisatorische Massnahmen vor unbefugtem Zugriff zu schützen.
Auskunftsrecht	Art. 25 DSG	Arbeitnehmende haben jederzeit das Recht, Auskunft über die zu ihrer Person gespeicherten Spesendaten zu verlangen.
Richtigkeit	Art. 6 Abs. 5 DSG	Das Unternehmen muss sicherstellen, dass die gespeicherten Spesendaten korrekt sind, und Berichtigungen ermöglichen.

DSG-Grundsätze und ihre Bedeutung für die Spesenabrechnung

Besonders relevant ist die Zweckbindung: Wenn ein Vorgesetzter Spesenabrechnungen nutzt, um das Reiseverhalten einer Mitarbeiterin zu überwachen, liegt eine zweckfremde Verwendung vor. Ebenso unzulässig wäre es, Bewirtungsbelege systematisch auszuwerten, um Rückschlüsse auf das Netzwerk eines Mitarbeiters zu ziehen. Solche Auswertungen bedürften einer separaten Rechtsgrundlage und einer vorgängigen Information der betroffenen Person.

Wichtigste Punkte:

Spesendaten dürfen ausschliesslich für Abrechnung, Buchführung und Steuerprüfung verwendet werden.

Arbeitnehmende haben gemäss Art. 25 DSG ein Auskunftsrecht über ihre gespeicherten Spesendaten.

Die zweckfremde Nutzung von Spesendaten – etwa zur Verhaltensüberwachung – ist ohne separate Rechtsgrundlage unzulässig.

Spesendaten DSG-konform verwalten und automatisch löschen mit der Spesen App → Spesenbelege erfassen, einreichen, prüfen und freigeben.

Mehr erfahren →

03.Aufbewahrungskonflikt: 10 Jahre OR vs. Datensparsamkeit DSG

Zwischen der handelsrechtlichen Aufbewahrungspflicht und dem datenschutzrechtlichen Grundsatz der Datensparsamkeit besteht ein scheinbarer Widerspruch. Art. 958f OR verpflichtet Unternehmen, Geschäftsbücher und Buchungsbelege – dazu gehören Spesenbelege – während 10 Jahren aufzubewahren. Das DSG verlangt hingegen, Personendaten zu löschen, sobald sie für den Bearbeitungszweck nicht mehr erforderlich sind.

Die Auflösung ist klar: Die gesetzliche Aufbewahrungspflicht gemäss OR stellt eine Rechtsgrundlage im Sinne von Art. 6 Abs. 1 DSG dar. Solange die 10-Jahres-Frist läuft, dürfen und müssen die Spesendaten aufbewahrt werden. Die Frist beginnt mit dem Ende des Geschäftsjahres, in dem der Beleg erstellt wurde. Ein Spesenbeleg vom März 2026 muss demnach bis Ende 2036 aufbewahrt werden.

Zeitpunkt	Pflicht	Rechtsgrundlage
März 2026	Spesenbeleg wird erstellt und eingereicht	Art. 327a OR (Erstattungspflicht)
2026–2036	Aufbewahrung der Belege und Abrechnungsdaten	Art. 958f OR (10 Jahre ab Ende Geschäftsjahr)
1. Januar 2037	Unverzügliche Löschung aller Spesendaten aus diesem Geschäftsjahr	Art. 6 Abs. 4 DSG (Datensparsamkeit)

Aufbewahrung und Löschung im Zeitverlauf (Beispiel)

Nach Ablauf der 10-jährigen Frist entfällt die Rechtsgrundlage für die weitere Aufbewahrung. Ab diesem Zeitpunkt sind die Daten unverzüglich zu löschen – nicht erst beim nächsten Systemupdate oder bei der nächsten Revision. Unternehmen, die Spesendaten über die gesetzliche Frist hinaus aufbewahren, verstossen gegen das DSG und riskieren Sanktionen des EDÖB.

Wichtigste Punkte:

Die 10-jährige Aufbewahrungspflicht nach Art. 958f OR hat Vorrang vor der Datensparsamkeit des DSG.

Die Frist beginnt mit dem Ende des Geschäftsjahres, in dem der Beleg erstellt wurde.

Nach Ablauf der Frist sind Spesendaten unverzüglich und nachweisbar zu löschen.

04.Technische Massnahmen für den Datenschutz bei Spesendaten

Art. 8 DSG verlangt technische und organisatorische Massnahmen, die dem Risiko angemessen sind. Für Spesendaten bedeutet das konkret: Verschlüsselung, Zugriffsbeschränkung und eine automatisierte Löschroutine. Diese Massnahmen müssen dokumentiert sein, damit das Unternehmen seine Rechenschaftspflicht erfüllen kann.

Verschlüsselung: Spesendaten sind sowohl bei der Übertragung (TLS 1.2 oder höher) als auch bei der Speicherung (AES-256 oder vergleichbar) zu verschlüsseln. Das gilt insbesondere für Kreditkartendaten und Belegbilder.
Zugriffsbeschränkung (Need-to-know-Prinzip): Nur Personen, die Spesendaten für ihre Aufgabe benötigen, erhalten Zugriff: typischerweise die Buchhaltung, HR und die direkte Vorgesetzte für die Freigabe. Vorgesetzte sollten nach der Freigabe keinen dauerhaften Zugriff mehr haben.
Rollenbasierte Berechtigungen: Das Spesensystem muss verschiedene Rollen mit unterschiedlichen Berechtigungsstufen unterstützen. Eine Sachbearbeiterin in der Buchhaltung benötigt andere Rechte als eine Teamleiterin, die lediglich Abrechnungen freigibt.
Automatisierte Löschung nach 10 Jahren: Ein manueller Löschprozess ist fehleranfällig. Empfehlenswert ist eine automatisierte Löschroutine, die nach Ablauf der 10-jährigen Aufbewahrungsfrist sämtliche Spesendaten eines Geschäftsjahres unwiderruflich entfernt und den Löschvorgang protokolliert.
Protokollierung (Audit Trail): Jeder Zugriff auf Spesendaten sollte protokolliert werden: Wer hat wann welche Daten eingesehen, geändert oder gelöscht? Diese Protokolle dienen sowohl dem Datenschutznachweis als auch der Revisionssicherheit.

Bei der Wahl eines Cloud-basierten Spesensystems ist zusätzlich zu prüfen, ob die Daten in der Schweiz oder im EWR gespeichert werden. Eine Übermittlung in Drittstaaten ohne angemessenes Datenschutzniveau erfordert zusätzliche Garantien gemäss Art. 16 f. DSG. Die Verantwortung für den Datenschutz bleibt auch bei Nutzung eines externen Anbieters beim Unternehmen.

Wichtigste Punkte:

Spesendaten sind bei Übertragung und Speicherung zu verschlüsseln.

Der Zugriff ist nach dem Need-to-know-Prinzip auf Buchhaltung, HR und freigebende Vorgesetzte zu beschränken.

Eine automatisierte Löschroutine nach 10 Jahren verhindert DSG-Verstösse durch vergessene Altdaten.

Auch bei Cloud-Lösungen bleibt das Unternehmen für den Datenschutz verantwortlich.

Spesendaten DSG-konform verwalten und automatisch löschen

Starte jetzt mit der Spesen App und der Spesen App Cloud – die smarte Lösung für Unternehmen. Spesenbelege erfassen, einreichen, prüfen und freigeben. Alles digital, alles im Griff.

Mehr erfahren →

05.Häufige Fehler

Fehler 1: Spesendaten ohne Zugriffsbeschränkung im Netzlaufwerk ablegen

Werden Spesenbelege in einem allgemein zugänglichen Ordner gespeichert, können unbefugte Mitarbeitende Aufenthaltsorte, Beträge und Kreditkartendaten einsehen. Das verstösst gegen Art. 8 DSG. Spesendaten gehören in ein System mit rollenbasierten Berechtigungen, nicht auf ein offenes Netzlaufwerk.

Fehler 2: Spesendaten nach Ablauf der 10-Jahres-Frist nicht löschen

Viele Unternehmen bewahren Spesendaten «sicherheitshalber» über die gesetzliche Frist hinaus auf. Ohne Rechtsgrundlage ist das ein Verstoss gegen den Grundsatz der Datensparsamkeit. Ein dokumentierter Löschprozess mit klaren Fristen schafft Abhilfe.

Fehler 3: Spesenabrechnungen zur Verhaltenskontrolle auswerten

Die systematische Auswertung von Spesenmustern – etwa um das Reiseverhalten oder die Arbeitszeiten zu überwachen – ist eine zweckfremde Datenverwendung. Ohne vorgängige Information und separate Rechtsgrundlage ist dies unzulässig und kann arbeitsrechtliche Konsequenzen haben.

Fehler 4: Kreditkartenabrechnungen ungeschwärzt weiterleiten

Firmenkreditkarten-Abrechnungen enthalten oft die vollständige Kartennummer und private Transaktionen. Vor der Weiterleitung an die Buchhaltung müssen private Positionen entfernt und Kartennummern teilweise geschwärzt werden. Andernfalls werden unnötig Personendaten offengelegt.

Fehler 5: Kein Auskunftsprozess für Arbeitnehmende definiert

Arbeitnehmende haben gemäss Art. 25 DSG das Recht, Auskunft über ihre gespeicherten Spesendaten zu verlangen. Fehlt ein definierter Prozess, riskiert das Unternehmen, die 30-tägige Antwortfrist zu verpassen. Ein standardisiertes Auskunftsformular und klare Zuständigkeiten verhindern das.

06.Häufige Fragen

Brauche ich eine Datenschutz-Folgenabschätzung für das Spesenabrechnungssystem?

Eine Datenschutz-Folgenabschätzung (DSFA) gemäss Art. 22 DSG ist erforderlich, wenn die Datenbearbeitung ein hohes Risiko für die Persönlichkeit der Betroffenen mit sich bringt. Bei einem Standard-Spesensystem mit wenigen hundert Nutzenden ist das in der Regel nicht der Fall. Werden jedoch systematisch Bewegungsdaten erfasst, GPS-Tracking eingesetzt oder Spesendaten mit anderen HR-Daten verknüpft, kann eine DSFA notwendig werden. Im Zweifelsfall empfiehlt sich eine Vorabprüfung durch die Datenschutzverantwortliche.

Darf der Vorgesetzte alle Spesenbelege seiner Mitarbeitenden dauerhaft einsehen?

Nein. Der Vorgesetzte benötigt Zugriff auf die Spesenbelege nur für die Freigabe. Nach der Genehmigung sollte der Zugriff auf die Buchhaltung und HR beschränkt sein. Ein dauerhafter Vollzugriff für Vorgesetzte widerspricht dem Grundsatz der Verhältnismässigkeit nach Art. 6 Abs. 2 DSG.

Gilt die EU-DSGVO für Schweizer Unternehmen bei der Spesenabrechnung?

Die DSGVO kann anwendbar sein, wenn ein Schweizer Unternehmen Spesendaten von Mitarbeitenden in der EU bearbeitet oder einen Cloud-Anbieter mit Sitz in der EU nutzt. In der Praxis ist für rein inländische Spesenprozesse das Schweizer DSG massgebend. Die Grundsätze beider Gesetze sind weitgehend deckungsgleich, doch die Sanktionsregime unterscheiden sich erheblich.

Müssen Spesenbelege nach 10 Jahren physisch vernichtet werden?

Ja. Die Löschpflicht gilt sowohl für digitale als auch für physische Belege. Papierbelege sind mit einem Aktenvernichter (mindestens Sicherheitsstufe P-4) zu vernichten. Digitale Daten müssen so gelöscht werden, dass eine Wiederherstellung ausgeschlossen ist. Der Löschvorgang sollte dokumentiert werden.

Was passiert, wenn ein Mitarbeitender Auskunft über seine Spesendaten verlangt?

Das Unternehmen muss gemäss Art. 25 DSG innerhalb von 30 Tagen kostenlos Auskunft erteilen. Die Auskunft umfasst alle gespeicherten Spesendaten der betreffenden Person, den Bearbeitungszweck, allfällige Empfänger und die geplante Aufbewahrungsdauer. Die Auskunft ist schriftlich und in verständlicher Form zu erteilen.

Die wichtigsten Punkte zusammengefasst:

1.Spesenabrechnungen enthalten Personendaten wie Name, Aufenthaltsorte, Kreditkartennummern und Namen von Geschäftspartnern, die dem revidierten Schweizer DSG unterstehen.

2.Die Bearbeitung von Spesendaten ist an den Zweck der Abrechnung, Buchführung und Steuerprüfung gebunden – jede andere Verwendung erfordert eine separate Rechtsgrundlage.

3.Die 10-jährige Aufbewahrungspflicht gemäss Art. 958f OR hat Vorrang vor dem DSG-Grundsatz der Datensparsamkeit und stellt eine gültige Rechtsgrundlage dar.

4.Nach Ablauf der 10-Jahres-Frist sind sämtliche Spesendaten unverzüglich und nachweisbar zu löschen.

5.Der Zugriff auf Spesendaten ist nach dem Need-to-know-Prinzip auf Buchhaltung, HR und freigebende Vorgesetzte zu beschränken.

6.Technische Massnahmen wie Verschlüsselung, rollenbasierte Berechtigungen und automatisierte Löschroutinen sind gemäss Art. 8 DSG Pflicht.

7.Arbeitnehmende haben gemäss Art. 25 DSG jederzeit das Recht auf Auskunft über ihre gespeicherten Spesendaten.

8.Auch bei Nutzung eines Cloud-basierten Spesensystems bleibt das Unternehmen für die Einhaltung des DSG verantwortlich.

07.Weiterführende Artikel

Aufbewahrungspflicht für Spesenbelege (2026)Übersicht & Leitfaden

Spesenbelege müssen 10 Jahre aufbewahrt werden – digitale Kopien sind zulässig, wenn sie revisionssicher gespeichert und jederzeit lesbar sind.

Spesenbelege in der Cloud aufbewahren: Was gilt? (2026)Definition

Cloud-Aufbewahrung von Spesenbelegen ist GeBÜV-konform wenn Unveränderlichkeit, 10-jährige Abrufbarkeit und Exportierbarkeit sichergestellt sind – normale Cloud-Ordner genügen nicht.

Prüfpfad (Audit Trail) in der Spesenabrechnung (2026)Definition

Ein lückenloser Audit Trail dokumentiert Einreichung, Prüfung und Genehmigung jeder Spesenabrechnung – er ist bei Revisionen durch AHV und Steueramt zwingend erforderlich.