Datenschutz-Pflichten bei der Lohnabrechnung

September 2016 - Ab dem 25. Mai 2018 wird die EU-DSGVO, die europäische Datenschutzgrundverordnung EU-weit zur Anwendung kommen. Die datenschutzrechtlichen Risiken für Unternehmen werden damit weiter wachsen – auch in der Lohnabrechnung. Deutlich höhere Bußgelder und neue Vorschriften sind ein guter Anlass, um sich rechtzeitig erneut mit dem Thema zu befassen.

Ab dem 25. Mai 2018 wird die EU-DSGVO, die europäische Datenschutzgrundverordnung EU-weit zur Anwendung kommen. Die datenschutzrechtlichen Risiken für Unternehmen werden damit weiter wachsen – auch in der Lohnabrechnung. Deutlich höhere Bußgelder und neue Vorschriften sind ein guter Anlass, um sich rechtzeitig erneut mit dem Thema zu befassen.

Grundsätzlich gilt spätestens mit der neuen Rechtslage: Wer personenbezogene Daten verwendet, der ist für sie verantwortlich. Auch wenn ein externes Lohnbüro mit der Durchführung der Lohnabrechnung beauftragt wird – der Arbeitgeber ist die „verantwortliche Stelle“ dafür, dass der Schutz der personenbezogenen Daten seiner Mitarbeiter gewahrt wird, auch beim Dienstleister. Umgekehrt gelten die datenschutzrechtlichen Pflichten des beauftragenden Unternehmens auch für und bei dem mit der Lohnabrechnung beauftragten Dienstleister weiter.

In der Praxis bedeutet das:

Für Lohnbuchhaltung und -abrechnung muss es funktionierende (IT-)Sicherheitsmaßnahmen nach Stand der Technik geben, beim Unternehmen selbst wie auch beim Dienstleister.

Personenbezogene Daten

Das Bundesdatenschutzgesetz (BDSG) wie auch die EU-DSGVO schützen personenbezogene Daten – und damit fast alle Informationen, um die es in der Lohnabrechnung geht: Vom Namen, dem Wohnort und der Kontonummer des Beschäftigten über seine Arbeitszeiten, die berufliche Tätigkeit, Arbeits-, Urlaubs- und Krankenzeiten bis hin zur Konfessionszugehörigkeit, Kinderzahl und selbstverständlich der Höhe seiner Einkünfte.

Was bringt die EU-DSGVO?

Verstöße werden teurer

  • Das BDSG sieht für Verstöße als Ordnungswidrigkeiten Bußgelder von bis zu 50.000 Euro, für schwere Verstöße bis 300.000 Euro vor.
  • Ab 2018 können Verstöße gegen die Datenschutzgrundverordnung mit Bußgeldern von bis zu 10 Millionen Euro oder bis zu zwei Prozent des weltweiten (!) Jahresumsatzes geahndet werden – die größere Summe gibt den Ausschlag. Für einige schwerwiegende Verstöße verdoppeln sich diese Werte sogar (Art. 83 EU-DSGVO).

Außerdem können die Aufsichtsbehörden bei Datenschutzmängeln jederzeit das Einstellen der Datenverarbeitung anordnen. Dass ein Unternehmen in große Nöte kommt, wenn die Lohnabrechnung plötzlich unterbunden wird, liegt auf der Hand: Eine solche Untersagungsverfügung ändert ja nichts am Anspruch der Mitarbeiter auf pünktliche, korrekte Gehaltszahlung.

Die Grundregeln bleiben gleich

Die datenschutzrechtlichen Grundsätze der EU-DSGO sind nicht neu – sie prägen auch bislang schon das BDSG. Für die Lohnabrechnung sind vor allem folgende Prinzipien wichtig:

Erlaubnisvorbehalt (Art. 6 EU-DSGVO): Die Verarbeitung personenbezogener Daten ist nur erlaubt, wenn der Betreffende explizit zugestimmt hat, ein Vertrag anders nicht erfüllt werden kann oder eine Rechtspflicht es erfordert. Da ein Arbeitgeber weder die Entlohnung als arbeitsvertragliche Hauptpflicht noch seine gesetzlich vorgeschriebenen Pflichten in Bezug auf Steuern und Sozialversicherungsbeiträge erfüllen kann, ohne personenbezogene Daten seiner Arbeitnehmer zu verarbeiten, ist diese Verarbeitung natürlich erlaubt.

Zweckbindung und Datensparsamkeit (Art. 5 Abs. 1 DSGVO), d. h. die Pflicht, Daten nur für einen bestimmten Zweck zu verarbeiten und sich dabei auf das notwendige Maß zu beschränken, sind ebenfalls schon im BDSG verankert. Außerdem muss die Datensicherheit, – der technische und organisatorische Schutz vor Verlust, Zerstörung oder Schädigung der Daten – gewährleistet sein. Hier ist der Arbeitgeber gefordert.

Bestellung eines Datenschutzbeauftragten

Eine Änderung gegenüber dem BDSG bringt die EU-DSGV bei der Frage, wann ein Datenschutzbeauftragter bestellt werden muss. Nach dem noch geltenden Recht ist dafür vor allem die Zahl der mit der automatisierten Datenverarbeitung betrauten Personen ausschlaggebend – sind dies mehr als neun Mitarbeiter, ist ein – interner oder externer - Beauftragter Pflicht.

Die EU-DSGVO nennt als Voraussetzung, dass die Verarbeitung personenbezogener Daten eine Kerntätigkeit darstellt (Art. 37 EU-DSGVO). Bislang ist für die Praxis jedoch nur klar, dass beispielsweise Adresshändler unter diese Regelung fallen. Ob auch die Lohnabrechnung als Dienstleistung davon erfasst wird, bleibt abzuwarten. Professionelle Anbieter sollten ohnehin über einen Datenschutzbeauftragten verfügen.

Auftragsdatenverarbeitung

Jeder Datenschutzverstoß zieht nicht nur das Risiko von Bußgeldern, sondern auch von Schadenersatzforderungen nach sich. Deshalb ist in der Praxis die Frage von zentraler Bedeutung, wer als verantwortliche Stelle für die Einhaltung der Datenschutzbestimmungen verantwortlich zeichnet. Das gilt auch in der Lohnabrechnung.

Die EU-DSGVO bringt in dieser Frage eine Klarstellung: Das Unternehmen, das die Lohnabrechnung im Auftrag ausführt, darf die Daten nur auf Weisung des Auftraggebers verarbeiten. Verstößt der Dienstleister gegen diese Pflicht und verarbeitet Daten etwa zu eigenen Zwecken beziehungsweise nach eigenem Gutdünken, wird er selbst zum Verantwortlichen im Sinne der Verordnung – und haftet.

Die Verarbeitung der Gehaltsabrechnung durch einen Dienstleister muss wie jede sogenannte Auftragsdatenverarbeitung auf Grundlage eines Vertrags erfolgen, der die datenschutzrechtlichen Pflichten und Aufgaben regelt. Das sehen sowohl das BDSG wie die neue Verordnung vor (Abs. 28 EU-DSGVO). Die Auslagerung der Lohn- und Gehaltsabrechnung auf einen externen Abrechnungsdienstleister ist ein klassisches Beispiel für Auftragsdatenverarbeitung.

Im Ergebnis bedeutet das: Für Arbeitgeber, die die Lohnabrechnung von einem Dienstleister durchführen lassen, ist es zur eigenen Absicherung ganz entscheidend, dass diese Auftragsdatenverarbeitung vertraglich solide und exakt nach Rechtslage vereinbart wird. Die Vertragsgestaltung ist gewissermaßen entscheidender Teil der Dienstleistungsqualität.

Nachlässigkeit bereits Verstoß

Wenn ein Arbeitgeber die Gehaltsabrechnung einem dafür nicht geeigneten Betrieb überträgt und / oder die Übertragung vertraglich nicht sorgfältig ausgestaltet wird, verstößt er bereits gegen geltendes Datenschutzrecht, selbst wenn ansonsten kein Missbrauch der Daten stattfindet.

Kommt es zum Missbrauch, ist die Lage noch prekärer. Löscht der Auftragsdatenverarbeiter beispielsweise alte Datensätze nicht, obwohl er sie zum Zweck der Auftragserfüllung nicht mehr benötigt, verkauft er Datensätze an Dritte oder entwenden Hacker bei ihm aufgrund mangelhafter IT-Security Arbeitnehmerdaten, dann haftet (auch) das beauftragende Unternehmen, wenn der Verarbeitungsauftrag nicht hieb- und stichfest ist.

Dies ist bereits jetzt geltendes Recht. Mit der EU-DSGVO können die Bußgelder jedoch noch wesentlich drastischer ausfallen. Deshalb sollte die Wahl eines vertrauenswürdigen und professionellen Anbieters von Lohn- und Gehaltsabrechnung höchste Priorität haben.

Datenverarbeitungsverzeichnis

Bisher schon muss ein Unternehmen gemäß § 4e BDSG ein Verfahrensverzeichnis anlegen, wenn die Lohnbuchhaltung einem externen Dienstleister übertragen wird. Für diesen gilt die gleiche Pflicht. In Art. 30 legt nun auch die EU-DSGVO fest, dass ein „Verzeichnis von Verarbeitungstätigkeiten“ geführt werden muss. Es enthält Angaben dazu, welche Kategorien von Daten zu welchem Zweck verarbeitet werden, wann sie gelöscht werden, wer dabei verantwortlich zeichnet und weiteres mehr.

Ein professioneller Lohnabrechnungsdienstleister weiß, wie ein rechtssicheres Datenverarbeitungsverzeichnis gestaltet sein muss, und kann auch in diesem Punkt für datenschutzrechtliche Absicherung sorgen, von der auch seine Kunden profitieren.

Verantwortung des Steuerberaters

Der Steuerberater, der neben der steuerlichen Tätigkeit auch mit der Durchführung der Lohnbuchhaltung beauftragt wird, ist ohnehin selbst für die Einhaltung der Datenschutzbestimmungen verantwortlich. Er gilt gemäß Steuerberatergesetz als weisungsfrei, ist deshalb kein Auftragsdatenverarbeiter im Sinne der EU-DSGVO und von vornherein selbst verantwortliche Stelle. Er trägt die vollen datenschutzrechtlichen Pflichten in Bezug auf ihm übermittelte personenbezogenen Angaben. Gleichzeitig bleibt aber auch das beauftragende Unternehmen verantwortliche Stelle.

Fazit

Datenschutz ist ein in seiner Brisanz unterschätztes Thema. In Zeiten steigender Cyber-Angriffe und stetig wachsender Bedeutung von Compliance sollte man jedoch vorsorgen, auch in Bezug auf die Lohn- und Gehaltsabrechnung. Dort geht es schließlich durchweg um sensible, personenbezogene Daten – und die neue EU-Verordnung ermöglicht Bußgelder von beeindruckender Höhe.

Gleichzeitig dehnt die Rechtsprechung die persönliche Haftung von Geschäftsführern und Vorständen für Versäumnisse der Sorgfaltspflicht immer weiter aus. So gesehen ist es schon aus Gründen des Risikomanagements geboten, die Lohnabrechnung nur wirklich professionellen und vertrauenswürdigen Partnern zu übertragen

Kategorie

Steuern, Bescheinigungen und Rechtliches

Themen:

Datenschutz Lohn und Gehalt

Verwandte Artikel

Artikel

Lohnabrechnung und Geschäftsführerhaftung

Gesetze Lohn und Gehalt

Die Organhaftung ist für Geschäftsführer oder Vorstände von Kapitalgesellschaften ein echtes Risiko: Eine Pflichtverletzung kann zu Schadenersatzansprüchen führen und das gesamte Privatvermögen kosten.

Artikel

Bestandsschutz- und Übergangsregelungen für bisherige geringfügig entlohnte Beschäftigungen und Beschäftigungen in der Gleitzone ab 1. Januar 2013

Beschäftigung Lohn und Gehalt Entgelt

Dezember 2012 - Das Gesetz zu Änderungen im Bereich der geringfügigen Beschäftigung wurde am 25.10.2012 vom Bundestag verabschiedet. Am 12.11.2012 hatten dann die beteiligten Ausschüsse dem Bundesrat empfohlen, zu dem Gesetz die Einberufung des Vermittlungsausschusses zu verlangen mit dem Ziel, das Gesetz aufzuheben, und darüber hinaus das Gesetz für zustimmungspflichtig zu erklären (Drs-Nr. 625/1/12). Am 23.11.2012 hat der Bundesrat dieses Gesetz gebilligt. Es wurde festgestellt, dass das Gesetz nicht der Zustimmung des Bundesrates bedarf. Zudem wurde beschlossen, keinen Antrag auf Einberufung des Vermittlungsausschusses zu stellen. Es kann damit dem Bundespräsidenten zur Unterschrift vorgelegt werden.

Artikel

Änderung Zusatzbeiträge der Krankenkassen

Lohn und Gehalt Gesetze

Februar 2015 - Der Wettbewerb zwischen den Krankenkassen ist seit 2015 wieder eröffnet. Der Beitragssatz der Krankenkassen wurde auf 14,6 Prozent gesenkt. Aus dieser Tatsache ergibt sich für einige Kassen eine Unterdeckung im Finanzhaushalt. Daher wurde der Zusatzbeitrag geschaffen.

Artikel

Neuigkeiten zum Minijob und Beschäftigungen in der Gleitzone

Beschäftigung Lohn und Gehalt Minijob Mindestlohn

März 2015 - In Deutschland gibt es 7 Millionen „geringfügig Bes­chäf­tig­te“. Durch Urlaubs- und Weihnachtsgeld sowie sonstige Leistungen des Arbeitgebers darf der maximale monatlichen Zahlbetrag von 450 Euro monatlich nicht überschritten werden. Nach Einführung des Mindestlohnes sollten bestehende Arbeitsverträge ggf. überprüft werden.

Artikel

Phantomlohn in der Betriebsprüfung

Betriebsprüfung Lohn und Gehalt

Februar 2016 - Hat der Arbeitnehmer rechtlichen Anspruch auf Lohn, den der Arbeitgeber nicht abgerechnet und ausgezahlt hat, kann die Deutsche Rentenversicherung bei einer Betriebsprüfung dies als sozialversicherungspflichtigen Phantomlohn feststellen. In diesem Fall müssen die zu wenig abgeführten Abgaben nachgezahlt werden.