Datenschutz bei der Gehaltsabrechnung

Lohn- und Gehaltsabrechnungen werden in Deutschland herkömmlicherweise immer noch mit der Post verschickt. Digitale Lösungen bieten zunehmend attraktive Alternativen. Fraglich ist und bleibt jedoch, inwieweit der Datenschutz dabei gewährleistet werden kann. 

Der Datenschutz ist bei der Gehaltsabrechnung ein wichtiges Thema. HR-Dokumente enthalten viele personenbezogene Daten. Dazu gehören auch besondere Arten personenbezogener Daten wie beispielsweise die Religionszugehörigkeit. Nach der DSGVO und dem BDSG unterliegen die in der Gehaltsabrechnung enthaltenen Informationen also einem besonderen Schutz. Doch welche Vorgaben zum Datenschutz bei der Lohnabrechnung müssen Arbeitgeber:innen einhalten?

Digitale Gehaltsabrechnung & Datenschutz: Das sollten Unternehmen wissen

Die digitale Gehaltsabrechnung ist mit Blick auf den Datenschutz eine gute Alternative zum konventionellen Versand mit der Post. Um dem Datenschutz von Personaldaten Rechnung zu tragen, gibt es jedoch einige Regeln zu beachten. 
Das Dokument sollte digital signiert und zu jeder Zeit gegen nachträgliche Veränderungen geschützt sein. Deshalb empfiehlt sich als Format das PDF. Grundsätzlich ist es ratsam, die Aufbewahrung und das Verschicken digitaler HR-Dokumente immer verschlüsselt vorzunehmen. Im Intranet des Unternehmens ist der Zugriff über ein zweistufiges Berechtigungssystem besonders sicher. Gegen Manipulationen geschützte Protokolldaten ermöglichen zudem Transparenz in Hinblick auf die Zugriffe. Wichtig ist bei der Bereitstellung der elektronischen Gehaltsabrechnung über das Intranet außerdem, dass sich der Drucker direkt am Arbeitsplatz befindet oder mit einer PIN-Funktion versehen ist. Zuvor festgelegte Zugriffsrechte bzw. -beschränkungen gewährleisten, dass nur diejenigen Beschäftigten Zugriff auf die für die Lohnabrechnung relevanten Daten haben, welche diese für die Erfüllung ihrer ihnen zugewiesenen Aufgaben unbedingt benötigen. Dies entspricht dem Grundsatz der Zweckbindung. Wenn diese Schritte eingehalten werden, sind Sie datenschutzrechtlich bereits auf einem guten Weg.

Natürlich ist hier noch nicht Schluss: Es sind gewisse Löschfristen bezüglich der gespeicherten Lohnabrechnungsdaten zu beachten um den Datenschutz bei der Gehaltsabrechnung gewährleisten zu können. Nach dem Grundsatz der Speicherbegrenzung dürfen personenbezogene Daten nur so lange verarbeitet und gespeichert werden, wie dies zur Erfüllung des damit verfolgten Zwecks erforderlich ist, das heißt bei Zweckfortfall sind diese grundsätzlich unverzüglich zu löschen. Von dieser Löschpflicht gibt es jedoch gesetzlich normierte Ausnahmen. Eine Aufbewahrungspflicht besteht mithin, sobald dies zur Erfüllung rechtlicher Pflichten notwendig ist. Je nach Zweck kann eine unterschiedlich lange Aufbewahrungsfrist einschlägig sein. Mögliche Gründe für eine längerfristige Datenspeicherung könnten in arbeits- oder steuerrechtlichen Belangen liegen, oder aber auch bei Angaben, welche für Zusagen zur betrieblichen Altersvorsorge von Relevanz sind.

Bei Nichteinhaltung dieser Grundsätze drohen ansonsten unter Umständen, je nach Einzelfall und Schwere einer etwaigen Datenschutzverletzung, hohe Bußgelder für Arbeitgeber:innen, soweit diese personenbezogene Daten nicht fristgerecht löschen oder diese an unberechtigte Dritte weitergeben.
 

Datenschutzkonformer Versand der Gehaltsabrechnung per Post oder Mail

Der digitalen Variante gegenüber steht die heute immer noch weitverbreitete gedruckte und mit der Post versendete Lohnabrechnung. Rund 70 Prozent werden auf dem guten alten Postweg verschickt. Datenschutztechnisch ist der Versand von Gehaltsabrechnungen mit der Post jedoch nicht immer sicher. Gerade dann, wenn es zu Problemen bei der Zustellung kommt und die sensiblen Daten falsche Empfänger:innen erreichen. Auch die Hauspost ist hier keine angemessene Alternative. Auf dem Schreibtisch der Mitarbeiter oder im Postfach des Unternehmens gerät die Gehaltsabrechnung ebenfalls leicht in andere Hände.

Arbeitgeber:innen, die Lohnabrechnungen per Mail verschicken, sparen in erster Linie Ressourcen ein. Durch wegfallende Papier-, Druck- und Portokosten sowie von automatisierten Prozesse sind die Vorteile in der Theorie klar zu erkennen. Auch für die Mitarbeiter:innen ist die elektronische Verfügbarkeit der Dokumente praktisch. Jedoch ist der Versand von Gehaltsabrechnungen per Mail mit Blick auf den Datenschutz kritisch zu betrachten. Auch hier führt ein versehentlicher Fehler in der E-Mail-Adresse dazu, dass unverschlüsselte elektronische Gehaltsabrechnungen von falschen Empfänger:innen eingesehen werden können. Digital sollten sensible HR-Daten also grundsätzlich immer verschlüsselt werden, wenn der Versand per Mail DSGVO-konform erfolgen soll. Arbeitnehmer:innen müssen dem elektronischen Versand von Lohnabrechnungen vor der Einführung außerdem schriftlich zustimmen. Es kann sowohl die Firmen- als auch die private E-Mail-Adresse für die Zustellung der Dokumente genutzt werden. Für Arbeitgeber:innen bietet eine Lösung mit Transaktionshistorie zusätzliche Sicherheit. Der Prozess wird dadurch nachvollziehbar und transparenter mit Blick auf mögliche Fehlerquellen. Es gibt also unterschiedliche Möglichkeiten, um die digitale Versendung von Lohnabrechnungen so sicher wie möglich zu gestalten.
 

Gehaltsabrechnung durch Dienstleister: Was ist aus DSGVO-Sicht zu beachten?

Die Einhaltung von Datenschutzvorgaben der DSGVO gilt natürlich auch für die Kommunikation mit externen Parteien wie Lohn- und Gehaltsabrechnungsdienstleistern. Auch hier gilt: Die Datenübertragung sollte verschlüsselt erfolgen und der Transferprozess nachvollziehbar sein. Wichtig ist die schriftliche Zustimmung der Mitarbeiter:innen. Wenn personenbezogene Daten an externe Dienstleister ausgelagert werden – welche nicht ohnehin bereits aufgrund ihres beruflichen Status zur datenschutzrechtlichen Vertraulichkeit verpflichtet sind, beispielsweise ein Steuerberater  – muss mit diesen nach Art. 28 DSGVO zudem ein Auftragsverarbeitungsvertrag geschlossen werden. Darin werden der Umgang mit personenbezogenen Daten genau geregelt und die Daten nur entsprechend den Weisungen der Auftraggeber:innen verarbeitet. Letztere sind verantwortlich für den Schutz der von ihnen weitergegebenen Daten. Auch die Kontrolle über die Einhaltung der technischen und organisatorischen Maßnahmen liegt in der Verantwortung der Auftraggeber:innen.

Die digitale Lohnabrechnung ist beim Datenschutz eine gute Alternative zur gedruckten Version, die mit der Post verschickt wird. Trotzdem erfordert auch die elektronische Gehaltsabrechnung in Sachen Datenschutz Achtsamkeit. Dabei sind geeignete Dateiformate wie das PDF und der Einsatz von Verschlüsselungstechnologien essenziell. Wer sich an die Regeln hält, profitiert schließlich von sichereren, günstigeren und einfacheren Prozessen im Vergleich zum herkömmlichen Versand von Lohnabrechnungen mit der Post.