Datenschutz bei elektronischen Lohnabrechnungen

Immer mehr Unternehmen setzen auf elektronische Lohnabrechnungen. Die Vorteile sind offensichtlich: Lohnabrechnungen erreichen die Mitarbeiter unabhängig von ihrem aktuellen Wohn- und Arbeitsplatz (Stichwort: Home-Office). Zudem fallen keine Kosten für Verpackungsmaterial und Postversand an, Arbeitgeber sparen wertvolle Arbeitskraft und Ressourcen. Allerdings gibt es einige wichtige Punkte, die Sie bei der Digitalisierung von Lohnabrechnungen beachten sollten, um DSGVO-konform zu arbeiten.

Datenschutzrechtliche Relevanz elektronischer Lohnabrechnung

Gehaltsabrechnungen enthalten immer personenbezogene Daten und unterliegen damit den Vorgaben der Datenschutz-Grundverordnung (DSGVO) bzw. des Bundesdatenschutzgesetzes (BDSG). Auch wenn die Höhe des Gehalts aus Sicht des Betroffenen oftmals die kritischste Information darstellt, so ist diese aus datenschutzrechtlicher Sicht nicht als besonders schützenswert anzusehen.

Lohnabrechnungen enthalten jedoch oftmals neben den normalen personenbezogenen Daten wie bspw. Name des Mitarbeiters, Personalnummer, Anschrift etc., auch besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO etwa in Form von Religionsdaten (Kirchenzugehörigkeit). Diese gelten als besonders sensibel und unterliegen einem erhöhten Schutz. Aufgrund der Sensibilität dieser Daten sind die potentiellen Auswirkungen der Gefahren und die damit verbundenen möglichen Schäden auf die Rechte und Freiheiten von Betroffenen höher als bei normalen personenbezogenen Daten, weshalb die Verarbeitung an höhere Hürden geknüpft ist.

Allerdings sieht Art. 9 DSGVO einige Ausnahmen vor, die eine Verarbeitung trotzdem gestatten, wenn dies bspw. für den Arbeitgeber aus arbeitsrechtlichen Gründen (wie es bei der entsprechenden Abrechnung und Auszahlung des Gehalts) erforderlich ist.

Technische Sicherheitsmaßnahmen bei der elektronischen Lohnabrechnung

Bei der Zurverfügungstellung von Lohnabrechnungen in elektronischer Form liegt der Fokus zunächst auf der Datensicherheit. Dies gilt insbesondere beim Versand von Lohnabrechnungen per E-Mail. Die DSGVO schreibt vor, dass ein angemessenes Schutzniveau beim Transport von E-Mails über das Internet sichergestellt werden muss. Um dies sicherstellen zu können, müssen hinreichende technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO eingesetzt werden.

Die Angemessenheit dieses Schutzniveaus wird unter Berücksichtigung des Risikos für die Rechte und Freiheiten ermittelt. Kurzgefasst: Je brisanter der Inhalt (aus datenschutzrechtlicher Sicht) ist, desto stärker müssen die Daten mittels technischer Vorrichtungen geschützt werden.

Sie sollten daher bei der Übermittlung einer elektronischen Lohnabrechnung neben einer Transportverschlüsselung zusätzlich eine Inhaltsverschlüsselung umsetzen. Ziel ist hier, dass wirklich nur der bestimmte Empfänger auf den Inhalt der Lohnabrechnung zugreifen kann. Lesen Sie dazu unsere ausführliche Anleitung zum Verschlüsseln von E-Mails.

Sofern die vorgenannten Punkte zur Verschlüsselung beim E-Mail-Versand nicht gegeben bzw. nicht umgesetzt werden könnten, gibt es alternativ die Möglichkeit, die Lohnabrechnungen für die Mitarbeiter über ein sicheres Mitarbeiterportal oder das Intranet zum Download zur Verfügung zu stellen.

Sofern Sie ein solches Portal nutzen möchten, sollten Sie auch daran denken, dass es für Mitarbeiter, die das Unternehmen einmal verlassen, möglich sein muss, ihre Daten mitzunehmen. Ausscheidende Mitarbeiter müssen also ihre Daten speichern oder ausdrucken können. Hierfür empfiehlt es sich, technische und organisatorische Maßnahmen aufzustellen, die u.a. regeln, auf welchen Medien die Lohnabrechnungen gespeichert oder über welchen Drucker die Dokumente ausgedruckt werden dürfen, um ein angemessenes Datenschutz- und Datensicherheitsniveau gewährleisten zu können.

Achtung: Ein solcher Zugriff muss auch für Mitarbeiter ermöglicht werden, die für gewöhnlich keinen Zugriff auf die IT des Unternehmens haben.

Zustimmung

Sofern Sie eine digitalisierte Lohnabrechnung anbieten und nutzen möchten, sollten Sie sich zudem die Zustimmung ihrer Mitarbeiter einholen. Das bloße Bereitstellen der digitalen Lohnabrechnung zum Abruf durch den Mitarbeiter genügt nicht, um bereits das Erfordernis des Zugangs beim Mitarbeiter zu erfüllen. Vielmehr muss der Arbeitgeber die Lohnabrechnung so bereitstellen, dass der Arbeitnehmer unter gewöhnlichen Umständen hiervon Kenntnis erlangen kann. Dies kann nur dann bejaht werden, wenn der Arbeitnehmer damit rechnen konnte, dass ihm die Lohnabrechnung auf elektronischem Wege zugestellt wird, er also entweder explizit oder anderweitig durch schlüssiges Verhalten signalisiert hat, dass er mit diesem Übermittlungsweg einverstanden ist.

Informationspflichten im Rahmen der elektronischen Lohnabrechnung

Beim Einholen der Zustimmung sollten Sie Ihre Mitarbeiter nach Art. 13 DSGVO über diese neue Verarbeitung ihrer Daten entsprechend informieren. Lesen Sie hier, was bei der Erfüllung der Informationspflichten zu beachten ist und nutzen Sie unseren praktischen Generator für ein Mitarbeiter-Informationsschreiben.

Datenformat der Lohnabrechnung

Das Gesetz schreibt in § 108 GewO lediglich die Textform für die Lohnabrechnung vor, so dass das Datenformat grundsätzlich nicht vorgeschrieben ist. Aus praktischen Gründen sollte die Lohnabrechnung jedoch in einem Format sein, das sich nicht verändern lässt, das aber speicher- und druckbar ist. Das gängigste Format ist das PDF.

Mitarbeiter haben demnach keinen Anspruch darauf ihre Lohnabrechnung in Papierform zu erhalten.

Fazit: Elektronische Lohnabrechnungen sind – mit Vorsicht – machbar

Die praktische Umsetzung der Digitalisierung von Lohnabrechnungen birgt im Hinblick auf den Datenschutz nicht nur rechtliche, sondern auch technische Herausforderungen. Hierbei sollten Sie sorgfältig vorgehen, denn der Beschäftigtendatenschutz ist immer ein heikles Thema. Nicht nur, weil es dabei immer menschelt, sondern auch, weil die Gerichte hier durchaus harte Urteile verhängen.

Lassen Sie sich im Zweifelsfall lieber von einem ausgewiesenen Experten beraten!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.