Datenschutz bei der Gehaltsabrechnung – das müssen Arbeitgeber wissen

Datenschutz bei der Gehaltsabrechnung – das müssen Arbeitgeber wissen

Das Wort ist in aller Munde: Datenschutz. Und es betrifft jeden von uns. Denn der Schutz und die Kontrolle personenbezogener Daten – und damit der eigenen Privatsphäre – sind wichtig. Das gilt auch für den Datenschutz bei der Gehaltsabrechnung.

Unternehmen sind zur Ausstellung von Lohnabrechnungen an ihre Mitarbeiter verpflichtet. Dort sind jedoch jede Menge personenbezogene Daten zu finden. Wie also können Sie als Arbeitgeber Datenschutz bei der Gehaltsabrechnung gewährleisten? Was sind die gesetzlichen Grundlagen? Und welche datenschutzkonformen Wege der Zustellung von Gehaltsabrechnungen an Ihre Mitarbeiter gibt es eigentlich?

    Personenbezogene Daten: Wo der Datenschutz bei der Gehaltsabrechnung greift

    Vorname, Nachname, Anschrift, Geburtsdatum und Religionszugehörigkeit – all das sind Beispiele für personenbezogene Daten. Zusammen mit weiteren Informationen sind sie auch Bestandteil der Gehaltsabrechnung, die jeder Arbeitnehmer einmal im Monat analog oder digital erhält. Fast alle Angaben auf einer Lohnabrechnung sind daher als personenbezogene Daten zu werten. Dem Datenschutz bei der Gehaltsabrechnung kommt also eine wichtige Rolle zu.

    Um hier einem möglichen Missbrauch vorzubeugen, müssen Unternehmen unbedingt dafür Sorge tragen, dass die Daten nicht in dritte, und damit unter Umständen falsche Hände geraten. Die datenschutzrechtlichen Regelungen sind in der EU-Datenschutz-Grundverordnung (DSGVO) sowie im Bundesdatenschutzgesetz (BDSG) festgehalten. Doch welche Vorgaben zum Datenschutz bei der Gehaltsabrechnung müssen Arbeitgeber einhalten?

    Datenschutz bei der Gehaltsabrechnung: Das sagt der Gesetzgeber

    Bei jedem Vorgang mit personenbezogenen Daten kommen die Bestimmungen des BDSG und der DSGVO ins Spiel. Seit 2018 finden die Gesetze der Datenschutz-Grundverordnung europaweit in allen Unternehmen Anwendung.

    Für die Einhaltung des Datenschutzes bei Gehaltsabrechnungen regeln sie u. a.:

    • die Pflicht eines Unternehmens, das Lohnentgelt in textlicher Form mitzuteilen
    • den Schutz personenbezogener Daten für den gesamten Lebenszyklus jedes Mitarbeiters sicherzustellen
    • personenbezogene Daten bei ihrer Verarbeitung, elektronischen Übertragung, Transport oder Speicherung davor zu schützen, dass unbeteiligte Dritte sie lesen, kopieren oder verändern
    • dass Unternehmen alle für die Erstellung von Lohnabrechnungen nötigen technischen und organisatorischen Maßnahmen adäquat umsetzen müssen
    • beim Umgang mit Datenverarbeitungssystemen bei der Lohnbuchhaltung oder in Personalabteilungen gilt die Vertraulichkeit und Ausfallsicherheit der genutzten Systeme
    • die Zugriffskontrolle: Personen, die mit Datenverarbeitungssystemen arbeiten, müssen für die Daten, auf die sie zugreifen, eine Berechtigung haben

    Die Neufassung des Bundesdatenschutzgesetzes konkretisiert gemeinsam mit den Datenschutzregelungen der Länder diese Vorgaben. Beispielsweise wann ein Unternehmen einen Datenschutzbeauftragten beschäftigen muss oder Ergänzungen zum Arbeitnehmerdatenschutz notwendig sind.

    Die Sicherstellung des Datenschutzes bei Entgeltabrechnungen ist für alle HR-Abteilungen eine wichtige Aufgabe. Deshalb lautet für alle Unternehmen die Faustregel: Beim Umgang mit personenbezogenen Daten immer die Vorgaben der DSGVO und des BDSG überprüfen. Datenschutz beim HR in Unternehmen betrifft auch die Mitarbeiterüberwachung sowie die Schweigepflicht. Und es gibt noch weitere Regelungen und Anforderungen, die jeder Arbeitgeber kennen sollte.

    Mehr zum Thema DSGVO Personalmanagement lesen Sie hier:

    Was ist bei der Auftragsverarbeitung zu beachten?

    Viele Unternehmen beschäftigen für die Lohnbuchhaltung einen externen Dienstleister. Dabei handelt es sich um ein typisches Beispiel für Auftragsverarbeitung. Hier geben die Datenschutz-Grundverordnung und das Bundesdatenschutzgesetz klare Regeln vor: Das Unternehmen und der beauftragte Dienstleister müssen Aufgaben und Pflichten des Datenschutzes bei der Gehaltsabrechnung vertraglich festhalten.

    Lohnabrechnung, DSGVO, Datenschutz, Cyber Security
    Zum Schutz der personenbezogenen Daten gelten klare Regeln © Rawf8 – Adobe Stock

    Die Gestaltung dieses Vertrags ist ein wichtiger Teil der Dienstleistungsqualität. Sind auch wirklich alle Datenschutzregelungen eingehalten? Indem Sie Auftragsverarbeitungen vertraglich solide und genau nach rechtlichen Grundlagen vergeben, entlasten Sie Ihre Mitarbeiter und erhalten selbst Sicherheit.

    Gut zu wissen: Beschäftigen Sie einen Steuerberater mit der Abrechnung von Löhnen, ist dies übrigens nicht als Auftragsverarbeitung zu verstehen. Denn Steuerberater üben ihre Arbeit als freien Beruf aus und sind damit weisungsfrei.

    Welche Aufbewahrungsfristen müssen Arbeitgeber einhalten?

    Die DSGVO regelt ein sogenanntes „Recht auf Vergessenwerden“. Im Falle einer Kündigung eines Mitarbeiters bedeutet das, dass der Zweck für die Erhebung oder Verarbeitung personenbezogener Daten nicht länger besteht. Folglich muss das Unternehmen diese Daten löschen. Die Speicherung von Personalakten über einen unbegrenzten Zeitraum hinweg ist damit ebenfalls nicht erlaubt.

    Doch es gibt auch Ausnahmen bei der Löschpflicht. Diese greifen, wenn die Aufbewahrung personenbezogene Daten zur Erfüllung rechtlicher Pflichten nötig ist:

    • bei Daten, die das Arbeitsrecht betreffen, gibt es eine Speicherfrist von 3 Jahren
    • steuerrechtlich relevante Daten sind bis zu 6 Jahre zu aufzubewahren; Dokumente, die als Buchungsgrundlage dienen, sogar für 10 Jahre
    • eine Frist von bis zu 30 Jahren gilt für Angaben, die für Zusagen zur betrieblichen Altersvorsorge relevant sind

    Arbeitgeber müssen also verschiedene Aufbewahrungsfristen einhalten. Je nachdem, welchen Zweck die Speicherung personenbezogener Daten nötig macht. Auch hier lohnt sich für Sie der Blick in die DSGVO – diese enthält alle wichtigen Informationen rund um das Thema Datenschutz.

    Welche Strafen drohen bei Verstößen?

    Die gesetzlichen Vorgaben zum Datenschutz bei Gehaltsabrechnungen sind streng geregelt. Doch was passiert Unternehmen, die wissentlich oder unwissentlich dagegen verstoßen?

    Löscht ein Unternehmen personenbezogene Daten nicht regelkonform oder verkauft sie gar an Dritte, verhängen die Landesbeauftragten der Datenschutzbehörden Bußgelder. Die Höhe des Bußgeldes ist vom jeweiligen Einzelfall abhängig und richtet sich u. a. nach der Art und Schwere des Verstoßes.

    In jedem Fall aber fallen für Unternehmen empfindliche Strafen an. Im Ernstfall sind Strafen bis zu 20 Millionen Euro oder 4 Prozent des vom Unternehmen weltweit erwirtschafteten Jahresumsatzes fällig.

    Von analog bis digital: 3 Wege der Zustellung von Lohnabrechnungen

    Für Unternehmen gibt es verschiedene Möglichkeiten, um Gehaltsabrechnungen an ihre Mitarbeiter zu versenden. In den letzten Jahren hat der Versand in digitaler Form deutlich zugenommen. Doch auch der Klassiker – die Zustellung von Entgeltabrechnungen per Post – ist noch immer üblich. Doch wie sieht es bei den unterschiedlichen Zustellungsarten mit dem Datenschutz bei den Gehaltsabrechnungen aus?

    1. Gehaltsabrechnung per Post

    Noch immer setzen viele Unternehmen auf die altbewährte Methode: Mitarbeiter erhalten ihre Lohnabrechnungen per Post. Für die persönliche und vertrauliche Zustellung der Daten sorgt das Postgeheimnis. Manche Mitarbeiter erhalten ihre Gehaltsabrechnungen auch mit der Hauspost an ihren Arbeitsplatz.

    Doch fallen für Unternehmen mit dem Briefversand monatlich hohe Sachmittel an: drucken, kuvertieren, ggf. frankieren – all das kostet Geld. Zudem ist bei jedem dieser Schritte die Einhaltung des Datenschutzes der Entgeltabrechnungen einzuhalten. Daher lohnt ein Blick auf die Alternativen.

    Briefversand, Post, Gehaltsabrechnung, DSGVO
    Viele Unternehmen setzen noch auf den Briefversand © Kzenon – Adobe Stock

    2. Lohnabrechnung über das firmeneigene Intranet

    Eine weitere Möglichkeit, Mitarbeitern Gehaltsabrechnungen zuzustellen, ist über das Intranet Ihres Unternehmens. Auch der Zugriff auf einen internen Web-Bereich eines mit der Lohnabrechnung beauftragten Dienstleisters ist eine Variante.

    Bei beiden muss die Abrufung der Daten verschlüsselt erfolgen. Denn auch hier darf nur der berechtigte Empfänger die Dokumente abrufen. Der Datenschutz der Gehaltsabrechnungen ist von den Verantwortlichen also unbedingt einzuhalten.

    Ein zweistufiges Berechtigungssystem macht es möglich:

    • der Mitarbeiter autorisiert sich im Intranet
    • mithilfe seiner Benutzerdaten greift der Mitarbeiter auf seine Entgeltabrechnung zu

    Gehaltsabrechnungen geschützt und kostengünstig zu versenden, geht auch mit Variante 3.

    3. E-Mail oder Online-Tool: Datenschutz bei digitalen Gehaltsabrechnungen

    Es klingt wie die einfachste Methode: Mit nur einem Mausklick erhält der Mitarbeiter seine Gehaltsabrechnung als Anhang einer E-Mail. Doch einfach ist nicht gleich sicher. Für das Unternehmen bedeutet der elektronische Versand von Lohnabrechnungen: doppelt Hinschauen beim Datenschutz.

    Auch die Erstellung und der Versand von Lohndaten über ein externes Online-Tool ist Unternehmen erlaubt. Hier gilt es vor allem, vertraglich genau hinzusehen. Datev, Lexoffice, Sage… die Auswahl an Anbietern von Online-Buchhaltung ist groß. Ein Vergleich lohnt sich für Sie also in jedem Fall.

    Digitalisierung der Gehaltsabrechnungen: Datenschutz steht an oberster Stelle

    Unnötige und kostenintensive Arbeitsschritte fallen weg, der Versand geht schnell und unkompliziert: Die Pluspunkte digitaler Zustellungsmethoden von Gehaltsabrechnungen liegen auf der Hand. Doch so vorteilhaft es für Unternehmen auf den ersten Blick auch scheint, sie müssen die Einhaltung des Datenschutzes von Gehaltsabrechnungen in elektronischer Form ganz genau prüfen.

    DSGVO und BDSG regeln hier eindeutig: Bei der digitalen Übertragung personenbezogener Daten oder ihrer Speicherung auf Datenträgern sind die Angaben vor unbefugten Dritten zu schützen. Lesen, bearbeiten, kopieren oder löschen – all das ist Unberechtigten verboten. Um Datenmissbrauch zu vermeiden, müssen Unternehmen in puncto Datenschutz bei der Gehaltsabrechnung also auf Nummer sicher gehen.

    Achtung Datenschutz-Falle: Was beim elektronischen Versand von Gehaltsabrechnungen wichtig ist

    Der Versand von Lohnabrechnungen per E-Mail an die Mitarbeiter ist in den letzten Jahren auf dem Vormarsch. Die schnelle und kostengünstige Auslieferung macht diese Methode für Unternehmen besonders attraktiv.

    Doch Vorsicht: Um den Datenschutz bei den Gehaltsabrechnungen zu wahren, sind drei Punkte entscheidend:

    • Format der Lohnabrechnung: Vorteilhaft sind die Speicherung und der Versand der Lohnabrechnung im PDF-Format. Warum? Ein PDF ist schnell erstellt und lässt sich leicht ausdrucken. Dies ist besonders wichtig, denn es ist gesetzlich vorgeschrieben, dass eine Gehaltsabrechnung druckbar sein muss. Damit nur berechtigte Mitarbeiter auf die Abrechnung zugreifen, ist eine passwortverschlüsseltes PDF ratsam. Für die Erstellung der Lohnabrechnung nutzen Sie am besten ein nicht veränderbares Unterformat wie PDF/A.
    • Weg der Zustellung: E-Mails sind auf dem Transportweg vor neugierigen Blicken Dritter unbedingt zu schützen. Dafür müssen die Mailserver des Empfängers und des Unternehmens eine Transportverschlüsselung und zusätzlich eine End-to-End-Verschlüsselung aufweisen. Auch Dateien vor dem Versand zu zippen ist eine Möglichkeit. So wird der Datenschutz von Gehaltsabrechnungen per E-Mail sichergestellt. Dabei spielt es keine Rolle, ob der Versand an die geschäftliche oder private E-Mail-Adresse des Mitarbeiters erfolgt. Auf dem Markt sind verschiedene Verschlüsselungssysteme erhältlich – einige kostenpflichtig, andere kostenlos.
    • Zustimmung des Arbeitnehmers: Unternehmen müssen unbedingt die schriftliche Einverständniserklärung ihrer Mitarbeiter einholen, bevor sie Gehaltsabrechnungen über E-Mail versenden.
    Lohnabrechnungen per Email werden zunehmend beliebter © Urupong – Adobe Stock

    Geschützte Transportwege, ein passwortverschlüsseltes PDF und die Zustimmung des einzelnen Mitarbeiters vorausgesetzt: Die Einhaltung des Datenschutzes bei Gehaltsabrechnungen per E-Mail-Versand ist damit gewährleistet. Sie als Unternehmen sind damit auf der sicheren Seite.

    Effizient und sicher beim Datenschutz: Lohnabrechnungen über Onlinedienste

    Eine einfache und ressourcenschonende Möglichkeit, den Lohn von Mitarbeitern abzurechnen, ist die Nutzung von Online-Diensten. Vor allem für kleinere und mittlere Unternehmen ist das eine interessante Alternative. Denn Lohnbuchabteilungen und Steuerberater sind teuer. Zudem fallen die Kosten für Wartungen, Hard- und Software sowie Upgrades weg. Doch wie sieht es dabei mit dem Datenschutz der Gehaltsabrechnungen aus?

    Die technischen Anforderungen für die betriebliche Nutzung von Online-Tools bei der Gehaltsabrechnung sind denkbar einfach: ein Internetanschluss und ein PC genügen. Auf dem Markt sind viele verschiedene Online-Anbieter zu finden. Datev, Sage, Lexoffice, Lohnfix oder Ilohngehalt und viele mehr: Sie alle bieten ihren Kunden ein unterschiedlich großes Spektrum an Leistungen an. Allen voran die Erstellung von Lohn- und Gehaltsabrechnungen.

    Doch egal, für welches Tool sich ein Unternehmen entscheidet: Die Erstellung und der Versand der Gehaltsabrechnungen unterliegen streng den Gesetzen von DSGVO und BDSG. Das heißt, die Datenverarbeitung und Zustellung von personenbezogenen Daten erfolgen zwingend auf Grundlage der aktuellen datenschutzrechtlichen Regelungen. Unternehmen, die eine Zusammenarbeit mit Online-Diensten zur Erstellung von Lohnabrechnungen planen, müssen hierfür vertraglich sorgen.

    Fazit: Augen auf beim Datenschutz

    Der Datenschutz bei Gehaltsabrechnungen ist ein sensibles Thema. Unternehmen müssen transparent sicherstellen, dass sie die personenbezogenen Daten ihrer Mitarbeiter bestmöglich schützen. Die Grundlage hierfür bilden die Bestimmungen der DSGVO und des BDSG. Sie bieten den verantwortlichen Unternehmen rechtliche Sicherheit und Orientierung.

    So vielfältig die Wege der Zustellungen von Lohnabrechnungen auch sind – ob per Post, über das Intranet oder digital – eine Vielfalt beim Datenschutz gibt es jedoch nicht. Im schlimmsten Falle drohen Unternehmen empfindliche Strafen. Es lohnt sich also, beim Thema Datenschutz bei Gehaltsabrechnung genau hinzusehen, um unnötige Fehler zu vermeiden.

    FAQ zum Datenschutz bei Gehaltsabrechnung

    Welche Pflichten haben Arbeitgeber im Zusammenhang mit der Erstellung von Lohn- und Gehaltsabrechnungen?

    Arbeitgeber müssen Lohnzahlungen und Lohnabrechnungen an ihre Mitarbeiter ausgeben. Bei Letzteren ist die Einhaltung des Datenschutzes besonders wichtig: Die Erstellung und der Versand von Gehaltsabrechnungen erfolgen auf der rechtlichen Grundlage von Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Darüber hinaus sind Arbeitgeber gegenüber Sozialversicherungsträgern und Finanzämtern meldepflichtig. Unternehmen müssen zudem entsprechende Bescheinigungen erstellen und gesetzliche Aufbewahrungsfristen einhalten.

    Ist die Zusendung der Lohn- und Gehaltsabrechnung per Post Pflicht?

    Für Unternehmen besteht keine Pflicht, Mitarbeitern ihre Gehaltsabrechnungen per Post zu senden. Ein Arbeitnehmer hat jedoch ein Recht auf Erhalt seiner Abrechnung in Textform. Und: Dieser Text muss sich auf einem dauerhaften Datenträger befinden. Dies ist – mit Blick auf die rechtlichen Datenschutzregelungen – auch in digitaler Form möglich. Etwa als druckfähiger, passwortgeschützter PDF-Anhang einer E-Mail oder über sichere, datenschutzkonforme Online-Server. Einzige Ausnahme: Tarifverträge oder Betriebsvereinbarungen, die das Wort „Papierform“ enthalten. In diesem Fall muss das Unternehmen dem Mitarbeiter die Lohnabrechnungen schriftlich per Post oder in einem Umschlag übermitteln.

    Wer darf Gehaltsabrechnungen sehen?

    Nur berechtigte Personen dürfen die Lohnabrechnung eines Mitarbeiters einsehen. Dazu gehören mit der Erhebung und Verarbeitung vom Unternehmen betraute Personen sowie der Empfänger der Gehaltsabrechnung. Entgeltabrechnungen sind vor dem unbefugten Zugriff Dritter unbedingt zu schützen: Die darin enthaltenen personenbezogenen Daten sind von unbeteiligten Personen weder zu lesen, zu bearbeiten oder zu löschen.

    Autor: Redaktion Personalwissen