Startseite > Office & Kommunikation > Was Unternehmen beachten müssen

Elektronische Gehaltsabrechnung & DSGVO

Was Unternehmen beachten müssen

23. März 2018, 14:40 Uhr | Autor: Kurt Kammerer / Redaktion: Axel Pomper

Die Schonfrist für die EU-DSGVO ist fast abgelaufen. Welche Prozesse müssen angepasst werden? Und vor allem: wie setzt man die DSGVO so um, dass man als Unternehmen nicht nur Arbeit investiert, sondern am Ende sogar von besseren Abläufen bis hin zu sicheren und einfacheren Prozessen profitiert.

Unternehmensbereiche, auf die im Zuge der DSGVO besondere Herausforderungen zukommen, sind die Personalabteilung und die Buchhaltung mit Prozessen wie der Lohn- und Gehaltsabrechnung. Zum einen, weil dabei viele personenbezogene Daten im Spiel sind, und zum anderen, weil in die Prozesse meist auch externe Dienstleister involviert sind. Je umfangreicher die Prozesskette ist, desto höher wird das Risiko eines Lecks. Und hier wird Nachlässigkeit zur Gefahr: neben dem Risiko eines Datenverlusts können die Geldbußen in der EU für Verstöße gegen die Datenschutzbestimmungen mit der Einführung der DSGVO bis zu vier Prozent des weltweiten Umsatzes betragen und damit existentiell sein.

Hohe Einsparpotentiale bei geringeren Risiken

Angesichts der gestiegenen Anforderungen an den Schutz personenbezogener Daten müssen Unternehmen ihre Lohn- und Gehaltsabrechnung ohnehin überprüfen. Wenn sie dann feststellen, dass sichere Datenprozesse mit tatsächlichen Einsparungen einhergehen können, dann kann die Last der DSGVO sich sogar in einen Fortschritt durch bessere digitale Prozesse umwandeln. Arbeitgeber, die Abrechnungen online versenden, profitieren von hohen Einsparpotentialen und Prozessautomation. Denn Papier-, Druck- und Portokosten fallen weg, und manuelle Aufwände reduzieren sich. Auch die Arbeitnehmer haben Vorteile: Sie haben ihre Abrechnungen jederzeit elektronisch verfügbar und können sich das Abheften und Heraussuchen aus Ordnern sparen.

Verschärfte Datenschutzanforderungen durch die DSGVO

Bei all den Vorteilen ist zu beachten: Wer digital versendet, muss die personenbezogenen Daten schützen. Und das ist nicht nur eine Folge der DSGVO, sondern war schon vorab gesetzlich verankert. Neben der Pflicht, das Arbeitsentgelt in Textform mitzuteilen, regelt das Bundesdatenschutzgesetz in Paragraph 9, dass personenbezogene Daten bei der elektronischen Übertragung, während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden dürfen. Zudem definierte der Paragraph eine Zugriffskontrolle: Die Nutzungsberechtigten eines Datenverarbeitungssystems dürfen ausschließlich auf die Daten zugreifen, für die sie eine Berechtigung haben.
Durch die Einführung der DSGVO gelten diese Bestimmungen nach wie vor, allerdings stärkt Artikel 33 der DSGVO den Datenschutz erheblich: Unternehmen sind danach für den Schutz der personenbezogenen Daten im gesamten Lebenszyklus verantwortlich. Zudem müssen sie nach Artikel 30, der die Sicherheit der Verarbeitung betrifft, jederzeit nachweisen können, dass sie die technischen und organisatorischen Datenschutzmaßnahmen umgesetzt haben, die den mit der Verarbeitung verbundenen Risiken angemessen sind. Eine weitere Anforderung verlangt die Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Ausfallsicherheit der für die Datenverarbeitung genutzten Systeme.

Systemanforderungen für digitale Lohn- und Gehaltsabrechnungen

Um rechtskonform zu sein, müssen elektronische Verfahren für die Lohn- und Gehaltsabrechnung durchgängige Vertraulichkeit und Nachweisbarkeit gewährleisten. Dies umfasst natürlich auch die elektronische Zustellung, die immer öfter an die private E-Mail-Adresse eines Arbeitnehmers erfolgt. Es versteht sich von selbst, dass solche Verfahren sicher sein müssen und zugleich die Nutzerfreundlichkeit nicht leiden darf: Um bestmögliche Akzeptanz bei den Arbeitnehmern zu erreichen, ist es wichtig, dass die Verschlüsselungstechnik einfach zu handhaben ist und ohne ein aufwändiges Management von Schlüsseln oder Zertifikaten funktioniert.

Vor Einführung eines elektronischen Versands von Lohn- und Gehaltsdokumenten müssen Arbeitgeber sich zudem eine schriftliche Einverständniserklärung der Arbeitnehmer einholen. Die elektronische Zustellvariante der Entgeltabrechnung stellt keine Anforderung an die genutzte E-Mail-Adresse. Es kann sowohl die Firmen-E-Mail-Adresse des Arbeitnehmers als auch die private E-Mailadresse verwendet werden. Die meisten Mitarbeiter bevorzugen die private E-Mailadresse, weil diese auch nach Ausscheiden aus einem Arbeitsverhältnis weiter besteht und verschlüsselt erhaltene Dokumente jederzeit geöffnet werden können.

Wer als Arbeitgeber eine Lösung mit Transaktionshistorie einsetzt, sichert sich zusätzlich ab. Der Prozess wird nachvollziehbar und Fehlerquellen lassen sich zeitnah aufdecken. Sind oben genannte Aspekte gegeben, dann ist die elektronische Übermittlung nicht nur günstiger, sondern auch sicherer.