Datenschutz bei der Lohnabrechnung

Die Medien scheinen den Datenschutz bei der Lohnabrechnung nicht oft zu diskutieren. Allerdings ist dieses Thema nicht zu vernachlässigen. Wann immer ein Unternehmen Beschäftigte hat, muss es auch die regelmäßige Lohnabrechnung durchführen. Hierbei gibt es allerdings eine besondere Gegebenheit zu beachten: die Art der verarbeiteten Daten.

Die Rechtsgrundlage der Verarbeitung

Bei der Verarbeitung personenbezogener Daten im Zuge einer Lohnabrechnung muss keine Einwilligung eingeholt werden bzw. ist diese hier überflüssig. Durch den Abschluss des Arbeitsvertrages zwischen dem Arbeitgeber und dem -nehmer entsteht ein Beschäftigungsverhältnis. Somit ist die Verarbeitung personenbezogener Daten grundsätzlich von § 26 Abs. 1 S. 1 BDSG umfasst, soweit es sich um Informationen wie den Namen, das Geburtsdatum oder die Adresse handelt.

Die Art der verarbeiteten Daten

Und warum ist nun bei der Lohnabrechnung der Schutz personenbezogener Daten speziell zu beachten? Dies wird damit begründet, dass hierbei Daten besonderer Kategorien verarbeitet werden. Zum einen wird hieraus ersichtlich ob und wer eine Kirchensteuer zahlt – da wäre dann ggf. davon auszugehen, dass diese Person einer Religion anhängig ist. Auch werden hier Daten zur Gesundheit und einer eventuellen Gewerkschaftszugehörigkeit verarbeitet.

Anforderungen an den Datenschutz und die -sicherheit

Gemäß Art. 32 Abs. 1 DSGVO muss ein Verantwortlicher verschiedene Aspekte in Betracht ziehen, um den Grad des nötigen Datenschutzes einschätzen zu können. Zum einen ist der Stand der Technik wichtig, aber auch die möglichen Implementierungskosten. Die Eigenschaften der jeweiligen Verarbeitung müssen auch beachtet werden. Generell stellt sich die Frage nach der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung. Speziell in diesem Fall geht es um die Lohnabrechnung, deren Umfang von der Größe des Unternehmens abhängig ist. Der Zweck dieser Verarbeitung dient der dokumentierten Darstellung der monatlichen Auszahlungen an die Beschäftigten. Gewichtiger ist aber der Sachverhalt bezüglich der Schwere des Risikos für die Rechte und Freiheiten der natürlichen Personen. Dabei ist in dieses Szenario mit einzubeziehen, dass hier personenbezogene Daten besonderer Kategorien verarbeitet werden. Das bedeutet, die Anforderungen an die technischen und organisatorischen Maßnahmen sind erhöht.

Technische und organisatorische Maßnahmen

In Anbetracht des Verarbeitungsvorganges und der verarbeiteten Daten ist es unabdingbar, dass nur die Personen im Unternehmen Zugriff auf diese Daten haben, die diesen für ihre Arbeit benötigen. Folglich muss ein Zugriffskonzept und die entsprechende Umsetzung existieren. Es liegt beispielsweise kein Grund vor, dem IT-Leiter solch einen Zugriff zu gewähren. Die physischen Daten sind wegzuschließen. Zu den elektronisch gespeicherten Daten ist mindestens ein Passwort einzurichten bzw. sind diese an einem Ort abzuspeichern, auf den nicht jeder Beschäftigte Zugriff hat. Auch wenn die Maßnahmen zum Schutz dieser Daten logisch erscheinen, sollte ein Verantwortlicher darauf hinweisen und diese Einweisung schriftlich bestätigen lassen.

Lohnabrechnung durch einen externen Dienstleister

Es gibt verschiedene Gründe, weshalb ein Unternehmen sich möglicherweise dafür entscheidet, die Lohnabrechnung auszulagern. Hier ist sorgfältig zu recherchieren, ob der angestrebte Dienstleister nicht nur von den Kosten her tragbar ist, aber auch ob er den Schutz und die Sicherheit der verarbeiteten personenbezogenen Daten gewährleisten kann. Wenn sich herausstellt, dass ein Verantwortlicher einen Dienstleister, der den Datenschutz und die Datensicherheit nicht gewährleisten kann, mit der Lohnabrechnung beauftragt, kann dies Bußgelder, Abmahnungen oder auch Schadensersatzansprüche zur Folge haben.

Auftragsverarbeitung gemäß Art. 28 DSGVO

Beauftragt eine Einrichtung ein externes Unternehmen oder nutzt eine externe, online erreichbare Software, um die Lohnabrechnung durchzuführen, ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen.

Kein Auftragsverarbeitungsvertrag mit einem Steuerberater

Bei der Notwendigkeit des Abschlusses eines Auftragsverarbeitungsvertrages gibt es allerdings Ausnahmen! Zieht man beispielsweise im Rahmen der Lohnabrechnung die Leistung eines Steuerberaters heran, ist kein Auftragsverarbeitungsvertrag abzuschließen. Um es besser zu verstehen: Ein Steuerberater würde gegen das Steuerberatungsgesetz (StBerG) verstoßen. § 57 Abs. 1 StBerG besagt, dass ein „Steuerberater […] seinen [sic] Beruf unabhängig, eigenverantwortlich, gewissenhaft, verschwiegen […] auszuüben“ hat. Dieser Paragraph wäre schon mal mit mindestens zwei der in Art. 28 Abs. 3 DSGVO festgehaltenen Regelungen unvereinbar. Dies insofern, dass die Weisungsgebundenheit nicht vorhanden ist. Des Weiteren unterliegt ein Steuerberater nach § 203 StGB einer Verschwiegenheitspflicht.

Verzeichnis von Verarbeitungstätigkeiten

Da bei der Lohnabrechnung personenbezogene Daten verarbeitet werden, ist diese Verarbeitungstätigkeit auch im Verzeichnis von Verarbeitungstätigkeiten entsprechend zu beschreiben.

Datenschutzhinweise

Es ist wichtig, in den Datenschutzhinweisen für die Beschäftigten zu erläutern, inwiefern ihre personenbezogenen Daten verarbeitet werden, auch, ob gegebenenfalls externe Dienstleister dafür hinzugezogen werden.

Fazit

Bei der Lohnabrechnung gibt es in vielerlei Hinsicht Bedingungen zu beachten und einzuhalten. Falls Sie Hilfe zu diesem Thema oder dem Datenschutz als ganzen Komplex benötigen, kontaktieren Sie uns dazu.