Datenschutz für elektronische Lohnabrechnungen gemäß DSGVO (und natürlich Informationssicherheit)

Es liegt auf der Hand, „elektronische Lohn- und Gehaltsabrechnungen“ (also eigentlich der elektronische Versand von digitalisierten Lohn- und Gehaltsabrechnungen) werden immer beliebter. Sie bieten beiden Seiten zahlreiche Vorteile: Arbeitnehmer können unabhängig von ihrem aktuellen Wohn- oder Arbeitsort (Stichwort: Home-Office) ihre Unterlagen erhalten. Die Arbeitgeber profitieren davon, indem sie Zeit und Ressourcen sparen, weil die Unterlagen nicht mehr kuvertiert und/oder verschickt werden müssen.

Bei der Digitalisierung der Lohn- und Gehaltsabrechnungen sind allerdings einige Punkte wegen des Datenschutzes und der Datensicherheit zu beachten.

Blickwinkel Datenschutz

Gehaltsabrechnungen enthalten immer personenbezogene Daten und unterliegen damit der Datenschutzgrundverordnung (DSGVO) und in Deutschland zusätzlich dem Bundesdatenschutzgesetz (BDSG). Obwohl die Höhe des Gehalts bzw. die Nettoauszahlung für Mitarbeiter wahrscheinlich die wichtigste Information ist, ist sie aus datenschutzrechtlicher Sicht nicht besonders schützenswert.

Neben den üblichen personenbezogenen Daten wie Name, Personalnummer, Adresse, Resturlaub usw. des Mitarbeiters enthalten Gehaltsabrechnungen häufig sensible personenbezogene Daten, die sog. besonderen Kategorien personenbezogener Daten (z.B. Konfession, Schwerbehinderung). Werden diese Angaben missbräuchlich verwendet, kann das dem Mitarbeiter besonders schaden und schwerwiegende Nachteile nach sich ziehen. Deshalb sind diese Daten eben besonders sensibel und unterliegen einem entsprechend hohen Schutz.

Blickwinkel Technische Sicherheitsmaßnahmen

Der Datenschutz und insbesondere die Vorgabe dort, Daten von Menschen nur unter Anwendung von nachweislich angemessenen und geeigneten Schutzmassnahmen zu verwenden, verpflichtet Unternehmen, bspw. beim Versand von Gehaltsabrechnungen per E-Mail solche angemessenen Sicherheitsmaßnahmen zu ergreifen. Wenn E-Mails über das Internet „transportiert“ werden, verlangt die DSGVO, dass ein angemessenes Schutzniveau gewährleistet ist – nur der richtige Mitarbeiter darf die eigene Lohnabrechnung erhalten (Stichworte: Transport- UND Inhaltsverschlüsselung, Passwortschutz, Vertraulichkeit, Integrität, Multi-Faktor-Authentisierung).

Anstatt per E-Mail bieten immer mehr Unternehmen Mitarbeitern deshalb die Möglichkeit Unterlagen (nicht nur Gehaltsabrechnungen) direkt aus einem sicheren Portal oder einem internen Netzwerk herunterzuladen.

Tipp: Arbeitgeber sollten daran denken, wie mit den Unterlagen und dem Zugriff ehemaliger Mitarbeiter in diesen Portalen umgegangen wird und wie beim Austritt eines Mitarbeiters verfahren wird. Und, der Zugriff auf ein solches Portal muss auch Mitarbeitern möglich sein, die normalerweise keine Firmen-IT nutzen oder darauf Zugriff haben (Stichwort: Externe Mitarbeiter).

Nutzung nur mit Zustimmung

Um eine elektronische Lohnabrechnung bereitzustellen, muss die Zustimmung der Mitarbeiter eingeholt werden. Ein Arbeitgeber darf die elektronischen Lohnabrechnungen nicht einfach zum Abruf bereitstellen. Sie müssen so bereitgestellt werden, dass Mitarbeiter von diesr Form der Bereitstellung unter normalen Umständen Kenntnis davon nehmen haben können. Und dies kann praktisch nur dann festgestellt werden, wenn der Mitarbeiter damit rechnen können, dass ihnen ihre Lohnabrechnung elektronisch übermittelt wird, sprich sie also entweder ausdrücklich oder durch schlüssiges Verhalten signalisieren, mit dieser Art der Bereitstellung einverstanden zu sein.

Tipp: Bei Einholung der Zustimmung müssen und können Arbeitgeber die Mitarbeiter gleich gemäß Artikel 13 der DSGVO über diese (neue) Verarbeitung ihrer Daten informieren.

Dateiformat für Lohnabrechnungen

Nach § 108 GewO ist ein bestimmtes Datenformat nicht vorgeschrieben – lediglich Textform ist erforderlich. Aus rein praktischen Gründen sollte die Gehaltsabrechnung jedoch in einem „üblichen“ / „typischen“ Format vorliegen, das nicht verändert, aber gespeichert und undbedingt ausgedruckt werden kann, sprich PDF (ggf. PDF/A).

Fazit

Die Digitalisierung und elektronische Bereitstellung von Lohn- und Gehaltsabrechnung ist leider immer ein heikles Thema, weil es um den Schutz der – teilweise sensiblen – Arbeitnehmerdaten geht. Hier sollte man nicht nur vorsichtig sein, weil es immer um Menschen geht, sondern auch, weil die Gerichte sehr hart urteilen können.