Diese Webseite nutzt Cookies für grundlegende Funktionen und zur Optimierung der angebotenen Inhalte. Mit der Nutzung unserer Webseite erklären Sie sich hiermit einverstanden. Weiterlesen …

Lohn-Updates

In unseren Lohn-Updates finden Sie wissenswerte Neuigkeiten rund um das Thema Lohnabrechnung. Unsere Lohn-Updates erscheinen monatlich. Melden Sie sich gleich an, wenn Sie die neueste Ausgabe per E-Mail zugeschickt haben möchten ...

Lohn-Updates

Datenschutz-Pflichten bei der Lohnabrechnung

Ab dem 25. Mai 2018 wird die EU-DSGVO, die europäische Datenschutzgrundverordnung EU-weit zur Anwendung kommen. Die datenschutzrechtlichen Risiken für Unternehmen werden damit weiter wachsen – auch in der Lohnabrechnung. Deutlich höhere Bußgelder und neue Vorschriften sind ein guter Anlass, um sich rechtzeitig erneut mit dem Thema zu befassen.

Grundsätzlich gilt spätestens mit der neuen Rechtslage: Wer personenbezogene Daten verwendet, der ist für sie verantwortlich. Auch wenn ein externes Lohnbüro mit der Durchführung der Lohnabrechnung beauftragt wird – der Arbeitgeber ist die „verantwortliche Stelle“ dafür, dass der Schutz der personenbezogenen Daten seiner Mitarbeiter gewahrt wird, auch beim Dienstleister. Umgekehrt gelten die datenschutzrechtlichen Pflichten des beauftragenden Unternehmens auch für und bei dem mit der Lohnabrechnung beauftragten Dienstleister weiter.

In der Praxis bedeutet das:

Für Lohnbuchhaltung und -abrechnung muss es funktionierende (IT-)Sicherheitsmaßnahmen nach Stand der Technik geben, beim Unternehmen selbst wie auch beim Dienstleister.

Personenbezogene Daten

Das Bundesdatenschutzgesetz (BDSG) wie auch die EU-DSGVO schützen personenbezogene Daten – und damit fast alle Informationen, um die es in der Lohnabrechnung geht: Vom Namen, dem Wohnort und der Kontonummer des Beschäftigten über seine Arbeitszeiten, die berufliche Tätigkeit, Arbeits-, Urlaubs- und Krankenzeiten bis hin zur Konfessionszugehörigkeit, Kinderzahl und selbstverständlich der Höhe seiner Einkünfte.

Was bringt die EU-DSGVO?

Verstöße werden teurer

  • Das BDSG sieht für Verstöße als Ordnungswidrigkeiten Bußgelder von bis zu 50.000 Euro, für schwere Verstöße bis 300.000 Euro vor.
  • Ab 2018 können Verstöße gegen die Datenschutzgrundverordnung mit Bußgeldern von bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten (!) Jahresumsatzes geahndet werden – die größere Summe gibt den Ausschlag. Für einige schwerwiegende Verstöße verdoppeln sich diese Werte sogar (Art. 83 EU-DSGVO).

Außerdem können die Aufsichtsbehörden bei Datenschutzmängeln jederzeit das Einstellen der Datenverarbeitung anordnen. Dass ein Unternehmen in große Nöte kommt, wenn die Lohnabrechnung plötzlich unterbunden wird, liegt auf der Hand: Eine solche Untersagungsverfügung ändert ja nichts am Anspruch der Mitarbeiter auf pünktliche, korrekte Gehaltszahlung.

Die Grundregeln bleiben gleich

Die datenschutzrechtlichen Grundsätze der EU-DSGO sind nicht neu – sie prägen auch bislang schon das BDSG. Für die Lohnabrechnung sind vor allem folgende Prinzipien wichtig:

Erlaubnisvorbehalt (Art. 6 EU-DSGVO): Die Verarbeitung personenbezogener Daten ist nur erlaubt, wenn der Betreffende explizit zugestimmt hat, ein Vertrag anders nicht erfüllt werden kann oder eine Rechtspflicht es erfordert. Da ein Arbeitgeber weder die Entlohnung als arbeitsvertragliche Hauptpflicht noch seine gesetzlich vorgeschriebenen Pflichten in Bezug auf Steuern und Sozialversicherungsbeiträge erfüllen kann, ohne personenbezogene Daten seiner Arbeitnehmer zu verarbeiten, ist diese Verarbeitung natürlich erlaubt.

Zweckbindung und Datensparsamkeit (Art. 5 Abs. 1 DSGVO), d. h. die Pflicht, Daten nur für einen bestimmten Zweck zu verarbeiten und sich dabei auf das notwendige Maß zu beschränken, sind ebenfalls schon im BDSG verankert. Außerdem muss die Datensicherheit, – der technische und organisatorische Schutz vor Verlust, Zerstörung oder Schädigung der Daten – gewährleistet sein. Hier ist der Arbeitgeber gefordert.

Bestellung eines Datenschutzbeauftragten

Eine Änderung gegenüber dem BDSG bringt die EU-DSGV bei der Frage, wann ein Datenschutzbeauftragter bestellt werden muss. Nach dem noch geltenden Recht ist dafür vor allem die Zahl der mit der automatisierten Datenverarbeitung betrauten Personen ausschlaggebend – sind dies mehr als neun Mitarbeiter, ist ein – interner oder externer - Beauftragter Pflicht.

Die EU-DSGVO nennt als Voraussetzung, dass die Verarbeitung personenbezogener Daten eine Kerntätigkeit darstellt (Art. 37 EU-DSGVO). Bislang ist für die Praxis jedoch nur klar, dass beispielsweise Adresshändler unter diese Regelung fallen. Ob auch die Lohnabrechnung als Dienstleistung davon erfasst wird, bleibt abzuwarten. Professionelle Anbieter sollten ohnehin über einen Datenschutzbeauftragten verfügen.

Auftragsdatenverarbeitung

Jeder Datenschutzverstoß zieht nicht nur das Risiko von Bußgeldern, sondern auch von Schadenersatzforderungen nach sich. Deshalb ist in der Praxis die Frage von zentraler Bedeutung, wer als verantwortliche Stelle für die Einhaltung der Datenschutzbestimmungen verantwortlich zeichnet. Das gilt auch in der Lohnabrechnung.

Die EU-DSGVO bringt in dieser Frage eine Klarstellung: Das Unternehmen, das die Lohnabrechnung im Auftrag ausführt, darf die Daten nur auf Weisung des Auftraggebers verarbeiten. Verstößt der Dienstleister gegen diese Pflicht und verarbeitet Daten etwa zu eigenen Zwecken beziehungsweise nach eigenem Gutdünken, wird er selbst zum Verantwortlichen im Sinne der Verordnung – und haftet.

Die Verarbeitung der Gehaltsabrechnung durch einen Dienstleister muss wie jede sogenannte Auftragsdatenverarbeitung auf Grundlage eines Vertrags erfolgen, der die datenschutzrechtlichen Pflichten und Aufgaben regelt. Das sehen sowohl das BDSG wie die neue Verordnung vor (Abs. 28 EU-DSGVO). Die Auslagerung der Lohn- und Gehaltsabrechnung auf einen externen Abrechnungsdienstleister ist ein klassisches Beispiel für Auftragsdatenverarbeitung.

Im Ergebnis bedeutet das: Für Arbeitgeber, die die Lohnabrechnung von einem Dienstleister durchführen lassen, ist es zur eigenen Absicherung ganz entscheidend, dass diese Auftragsdatenverarbeitung vertraglich solide und exakt nach Rechtslage vereinbart wird. Die Vertragsgestaltung ist gewissermaßen entscheidender Teil der Dienstleistungsqualität.

Nachlässigkeit bereits Verstoß

Wenn ein Arbeitgeber die Gehaltsabrechnung einem dafür nicht geeigneten Betrieb überträgt und / oder die Übertragung vertraglich nicht sorgfältig ausgestaltet wird, verstößt er bereits gegen geltendes Datenschutzrecht, selbst wenn ansonsten kein Missbrauch der Daten stattfindet.

Kommt es zum Missbrauch, ist die Lage noch prekärer. Löscht der Auftragsdatenverarbeiter beispielsweise alte Datensätze nicht, obwohl er sie zum Zweck der Auftragserfüllung nicht mehr benötigt, verkauft er Datensätze an Dritte oder entwenden Hacker bei ihm aufgrund mangelhafter IT-Security Arbeitnehmerdaten, dann haftet (auch) das beauftragende Unternehmen, wenn der Verarbeitungsauftrag nicht hieb- und stichfest ist.

Dies ist bereits jetzt geltendes Recht. Mit der EU-DSGVO können die Bußgelder jedoch noch wesentlich drastischer ausfallen. Deshalb sollte die Wahl eines vertrauenswürdigen und professionellen Anbieters von Lohn- und Gehaltsabrechnung höchste Priorität haben.

Datenverarbeitungsverzeichnis

Bisher schon muss ein Unternehmen gemäß § 4e BDSG ein Verfahrensverzeichnis anlegen, wenn die Lohnbuchhaltung einem externen Dienstleister übertragen wird. Für diesen gilt die gleiche Pflicht. In Art. 30 legt nun auch die EU-DSGVO fest, dass ein „Verzeichnis von Verarbeitungstätigkeiten“ geführt werden muss. Es enthält Angaben dazu, welche Kategorien von Daten zu welchem Zweck verarbeitet werden, wann sie gelöscht werden, wer dabei verantwortlich zeichnet und weiteres mehr.

Ein professioneller Lohnabrechnungsdienstleister weiß, wie ein rechtssicheres Datenverarbeitungsverzeichnis gestaltet sein muss, und kann auch in diesem Punkt für datenschutzrechtliche Absicherung sorgen, von der auch seine Kunden profitieren.

Verantwortung des Steuerberaters

Der Steuerberater, der neben der steuerlichen Tätigkeit auch mit der Durchführung der Lohnbuchhaltung beauftragt wird, ist ohnehin selbst für die Einhaltung der Datenschutzbestimmungen verantwortlich. Er gilt gemäß Steuerberatergesetz als weisungsfrei, ist deshalb kein Auftragsdatenverarbeiter im Sinne der EU-DSGVO und von vornherein selbst verantwortliche Stelle. Er trägt die vollen datenschutzrechtlichen Pflichten in Bezug auf ihm übermittelte personenbezogenen Angaben. Gleichzeitig bleibt aber auch das beauftragende Unternehmen verantwortliche Stelle.

Fazit

Datenschutz ist ein in seiner Brisanz unterschätztes Thema. In Zeiten steigender Cyber-Angriffe und stetig wachsender Bedeutung von Compliance sollte man jedoch vorsorgen, auch in Bezug auf die Lohn- und Gehaltsabrechnung. Dort geht es schließlich durchweg um sensible, personenbezogene Daten – und die neue EU-Verordnung ermöglicht Bußgelder von beeindruckender Höhe.

Gleichzeitig dehnt die Rechtsprechung die persönliche Haftung von Geschäftsführern und Vorständen für Versäumnisse der Sorgfaltspflicht immer weiter aus. So gesehen ist es schon aus Gründen des Risikomanagements geboten, die Lohnabrechnung nur wirklich professionellen und vertrauenswürdigen Partnern zu übertragen.

Stand: 25. August 2016

Hier finden Sie unser Lohn-Update "Datenschutz-Pflichten bei der Lohnabrechnung" zum Download als pdf-Datei.

Zurück

Unser Tipp für eine Sorge weniger:

Lohn- und Gehaltsabrechnung durch Paychex

  • ✔ bereits ab 1 Mitarbeiter
  • ✔ persönlicher Ansprechpartner
  • ✔ zuverlässiger und schneller Service

 

Jetzt mehr erfahren »

Kundenbewertungen bei eKomi:


"zuverlässig, kompetent und pünktlich"
"Schnelle und zuverlässige Lohn- und Gehaltsabrchnung, auch für kleine Unternehmen sehr zu empfehlen."
"Daumen hoch :o)"


Weitere Bewertungen ansehen »

Paychex Newsletter Anmeldung