Zum Inhalt springen Zur Navigation springen
Datenschutz für die elektronische Gehaltsabrechnung

Datenschutz für die elektronische Gehaltsabrechnung

Vor bereits mehr als 10 Jahren wurde das papierlose Büro als Modetrend ausgerufen. Die Druckerhersteller und Büroartikelverkäufer waren fast schon zu bedauern, denn Ausdrucke und Akten sollte es in der Zukunft kaum noch geben. Die Umsetzung der technischen Möglichkeiten hinkt gleichwohl bis heute hinterher und nach wie vor beherrschen Papier und Akten die Büroräume.

Die Ablösung von geduldigem Papier ist bisweilen auch nicht ganz trivial, was dieser Beitrag anhand des Beispiels der Einführung der elektronischen Gehaltsabrechnung einmal exemplarisch darstellen möchte.

Form der elektronischen Abrechnung

Zunächst muss ein gängiges, kompatibles Format, etwa das PDF-Format definiert werden. Dieses sollte zudem digital signiert und gegen nachträgliche Veränderungen geschützt sein. Inhaltlich muss auch die elektronische Gehaltsabrechnung den Anforderungen der Entgeltbescheinigungsrichtlinie sowie den §§126a und 126b BGB genügen.

Die Mitarbeiter und ggf. der Betriebsrat sind bei der Einführung frühzeitig zu involvieren und besonders die Mitarbeiter umfassend zu informieren, besonders sofern auch weitere Mitteilungen über das elektronische Abrufverfahren zur Verfügung gestellt werden sollen.

Zugriff auf die elektronische Gehaltsabrechnung

Sodann sollten die Zugriffsmöglichkeiten auf die elektronische Gehaltsabrechnung festgelegt werden. Von der einfachsten Möglichkeit, dem Versenden per E-Mail als Dateianhang, raten wir jedenfalls ab. Die Gefahren einer, zudem oft unverschlüsselt versandten E-Mail, liegen schon bei der Versendung selbst. Kleinere Rechtsschreibfehler in der E-Mail Adresse und der falsche Empfänger erhält eine fremde Gehaltsabrechnung; bedingt durch die Outlook Autovervollständigung vielleicht sogar eine firmenfremde Person.

Eine empfehlenswerte Variante ist der Zugriff über eine verschlüsselte Seite des Intranets. Damit ist schon ein zweistufiges Berechtigungssystem gegeben, der Mitarbeiter muss sich zuerst im Intranet autorisieren und in einem zweiten Schritt mit seinen Benutzerdaten kann er erst auf die dort zur Verfügung gestellte elektronische Gehaltsabrechnung zugreifen.

Speicherung und Druck der elektronischen Gehaltsabrechnung

Die vorstehende Möglichkeit zum Abruf (Download) der elektronischen Gehaltsabrechnung ist mit relativ überschaubarem technischen Aufwand umzusetzen. Die spannende Frage ist aber, wie geht es nun weiter. In der Regel wird sich der Mitarbeiter gerade die elektronische Gehaltsabrechnung ausdrucken wollen. Hierzu sollte ausschließlich ein entweder direkt am Arbeitsplatz befindlicher Drucker ausgewählt werden können, oder ein Netzwerkdrucker mit einer PIN-Funktion.

Diese Funktion bedeutet, dass der Mitarbeiter vor Ausdruck der Gehaltsabrechnung direkt am Gerät eine zuvor festgelegte PIN-Nummer eingeben muss, damit der Druckauftrag ausgeführt wird. In der Konfiguration des Gerätes sollte festgelegt werden, was bei einer mehrmaligen falschen PIN-Eingabe, oder einer ausbleibenden Pin-Eingabe mit dem Druckauftrag passieren soll. Im Idealfall wird dieser gelöscht und verbleibt insbesondere nicht auf dem internen Speicher des Gerätes.

Zu Regeln ist auch die erlaubte Art der Speicherung, d.h. darf der Mitarbeiter eine elektronische Kopie der elektronischen Gehaltsabrechnung auf seinem privaten/Unternehmens- USB-Stick speichern oder sich an seine private E-Mail-Adresse schicken (davon raten wir ab), denn verlässt der Mitarbeiter einmal das Unternehmen, hätte er keinen Zugriff mehr auf die vorhandenen Gehaltsabrechnungen und das Unternehmen müsste ihm diese nachträglich zur Verfügung stellen.

Regelungen für Mitarbeiter ohne Intranetzugang

Des Weiteren muss an Mitarbeiter ohne Intranet-/Internetzugang gedacht werden, bspw. Mitarbeiter in Schutzfristen (Mutterschutz, im Krankheitsfalle, längerer Urlaub, freiberuflich Tätige, etc.).

Technische Sicherheit

Wie bereits oben erwähnt sollte der Zugriff auf die entsprechende Seite nur verschlüsselt möglich sein und das oder die dort herunter zu ladenden Dokumente sowohl digital signiert als auch gegen Veränderungen geschützt sein. Es muss unbedingt sichergestellt werden, dass jeder Mitarbeiter ausschließlich seine Gehaltsabrechnung herunter laden oder einsehen kann und auch versehentliche Verwechslungen ausgeschlossen werden können (z.B. bei identischen Mitarbeiter Vor-/Nachnamen).

Ferner sollte bei jedem Aufruf der Seite erneut Benutzername und Passwort einzugeben sein und keine Speicherung im Browser möglich sein. Zugriffe sollten auch protokolliert werden (Beginn- / Ende, Zeitstempel, Benutzername und Aktion) und diese Protolldatei gegen Manipulationen geschützt werden. Zu regeln bleibt dann noch der Zugriff auf die Protokolldatei.

Praxistipp

Vorstehende Ausführungen sollen einmal die Komplexität des vermeintlich einfachen Ablösens des guten alten und geduldigen Papiers in die elektronische Form skizzieren. Gerade die Einführung der elektronischen Gehaltsabrechnung ist sicherlich ein sehr sensibles Thema, denn diese enthalten oftmals besondere Arten personenbezogener Daten, wie etwa die Religionszugehörigkeit (vgl. §3 Abs. 9 BDSG).

Bei Fragen hierzu kontaktieren Sie am Besten auch direkt Ihren betrieblichen Datenschutzbeauftragten.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Guten Tag! Vielen Dank für Ihren interessanten Beitrag zur elektronischen Gehaltsabrechnung. Eine Anmerkung sei jedoch gestattet: Der Versand per E-Mail stellt für viele große Unternehmen zwischenzeitlich durchaus eine wichtige Möglichkeit dar, die auch unter Vermeidung von Fehlern und unter Einhaltung aller Datenschutzszenarien abgebildet werden kann.

    Ihr Beispiel mit „Schreibfehlern“ oder „Autovervollständigen in Outlook“ entspricht nicht der Realität, da solche Versendungen in aller Regel über einen Prozess mit fest hinterlegten und geprüften Mailadressen und nicht manuell abgewickelt werden.

    Selbstverständlich muss der Versand der E-Mail verschlüsselt stattfinden, wir tun dies für unsere Kunden, wie z.B. die Deutsche Bahn, mit IncaMail. Portale sind nur die zweitbeste Lösung, da diese in aller Regel schwach (Statistisch von 11% der möglichen Nutzer) angenommen werden. Des Weiteren werden die Belege dann oft in der Firma ausgedruckt und liegen offen auf Abteilungsdruckern. In großen Unternehmen haben oft Mitarbeiter in der Produktion, im Außendienst, in Filianen etc. darüber hinaus keinen Zugriff auf ein Intranet.

    Eine hohe Akzeptanz bringt hier der Versand auf eine vom Mitarbeiter frei gewählte (private) E-Mailadresse – sicher, verschlüsselt, nachweisbar und eben nach der Präferenz des Mitarbeiters.

  • @Schäfer:

    Vielen Dank für die Hinweise. Unsere Erfahrung mit verirrten E-Mails ist eine andere, jedoch ist der verschlüsselte Versand von elektronischen Gehaltsabrechnungen per gesicherter E-Mail sicherlich eine geeignete Lösung.

  • Hallo, vielen Dank für diesen ausführlichen Bericht und auch die Anmerkungen von Herrn Schäfer. Bei der Variante des Intranetportals hat man noch immer das Problem, dass die Gehaltsabrechnung vom Mitarbeiter entweder am Arbeitsplatz geöffnet werden muss und eventuell dort ausgedruckt wird oder der Mitarbeiter die Datei unverschlüsselt per USB Stick, Dropbox, Webmail etc. weitertransferiert, um sie Zuhause anzusehen/auszudrucken. Beim verschlüsselten Emailversand an eine private Emailadresse, wie es die schweizer Post anbietet, hat man den administrativen Nachteil bzw Akzeptanzproblem, dass man dem Mitarbeiter einen Schlüssel zur Verfügung stellen muss. Eine Internet Portallösung, wie sie Datev anbietet dürfter meiner Meinung nach wegen der Authentifizierung über den Personalausweis zu geringer Mitarbeiterakzeptanz führen.

  • Hallo zusammen! Ist es im öffentlichen Dienst zulässig die Entgeltabrechnungen nicht mehr in gedruckter Form zu versenden bzw. auszuteilen sondern lediglich im Intranet über einen personalisierten Bereich als PDF-Dokumente zur Verfügung zu stellen? Bestehen hierbei Unterschiede zwischen Beamten und Angestellten? Wie sieht das der Datenschutz? Vielen Dank vorab.

  • @Fabian:
    Sofern in Ihrem Fall nicht besondere tarifvertragliche Regelungen oder Vereinbarungen gelten, wird mit dem Inkrafttreten der „Verordnung zur Erstellung einer Entgeltbescheinigung“ nach §108 Abs. 3 S.1 der Gewerbeordnung (GewO) zum 01.07.2013, die Gehaltsmitteilung als Entgeltbescheinigung ausgestellt. Damit gelten dieselben Voraussetzungen für den Einsatz einer elektronischen Gehaltsabrechnung wie oben im Beitrag dargelegt.

  • Vielen Dank für die Antwort, Dr. Datenschutz.

    Gibt es konkrete gesetzliche Vorgaben, außer die von Ihnen genannten, die sich auf die Bereitstellung der Gehaltsabrechnung im Intranet besonders hinsichtlich des Datenschutzes beziehen? Von (eigenen) tarifrechtlichen Regelungen abgesehen ggf. auch Besonderheiten im Beamtenrecht? Meine Recherchen in diese Richtungen sind allesamt sehr ernüchternd. (Geplant: Autorisierung im Intranet, Auflistung der Gehaltsabrechnungen im PDF-Format, um Druckversionen zu vermeiden)

  • Hallo, heutzutage sollte es doch in jedem Unternehmen eine elektronische Gehaltsabrechnung geben. Und der Datenschutz versteht sich meiner Meinung nach von selbst. Viele Grüße Detlef Arndt

  • @Fabian:
    Konkretere, bzw. weitere Regelungen als die Entgeltbescheinigungsrichtlinie, die Verordnung zur Erstellung einer Entgeltbescheinigung und der §108 GewO sind uns derzeit auch nicht bekannt. Seit dem 01. Juli wird nun auch für Beamte die Gehaltsmitteilung als Entgeltbescheinigung ausgestellt.

  • Hallo Dr. Datenschutz,
    ich habe mich nun eingehender mit der Thematik der elektronischen Entgeltbescheinigung beschäftigt. Im Gegensatz zum Versenden per E-Mail, bei der der Empfänger durch Angabe seiner Adresse der elektronischen Übermittlung einwilligt, erfordert die Bereitstellung im Intranet den tatsächlichen Abruf (d.h. Ausdruck oder Download). Wie kann diesem Problem im personalisierten Bereich des Intranets begegnet werden?
    Vielen Dank und schöne Grüße!

  • Hallo Dr. Datenschutz,
    mein Arbeitgeber will ab 2014 die Lohnabrechnungen nur noch elektronisch anbieten. Kann man sich dagegen wehren? Ich traue den Sicherheitsvorkehrungen überhaupt nicht. Ich möchte meine Daten weder im Internet bzw Intranet noch sonstwo greifbar wissen.. Außerdem hat (man soll es nicht glauben) nicht jeder von uns einen Internetzugang, geschweige denn einen Drucker zu Hause stehen. Es darf auch kein Stick oder ähnliches mit ins Büro genommen werden, wegen dem Datenschutz eben. Auch gibt es keinen Drucker für die Allgemeinheit. Was können wir tun?
    Vielen Dank im Voraus!

  • @sunny:
    Die Einführung der elektronischen Gehaltsabrechnung als organisatorische Maßnahme des Unternehmens verhindern können Sie eher nicht.

    Gleichwohl muss der Arbeitgeber für jeden Mitarbeiter eine angemesse Zugangsmöglichkeit schaffen. Das wäre dann allerdings eher eine Frage des Einzelfalles (fehlende Druckmöglichkeit, kein Internet etc).

  • Wir haben bei Piepenbrock auch eine elektronische Lösung. Das klappt bei den meisten gut, aber auch wir haben gelegentlich Mitarbeiter die es nicht nutzen können. Meist sind das technisch nicht versierte Personen, fehlende Geräte oder keine E-Mail Adresse. Aber den Betroffenen wird dann eben weiterhin Papier gesendet. Rechtlich kann ich das nicht beurteilen, aber ich finde die elektronische Zustellung prima und unkompliziert. Drucken tue ich sowieso nicht, sondern lege die Dokumente dann einfach ab. Im Notfall kann mir mein Arbeitgeber jederzeit aushelfen.

  • Hallo, mein Arbeitgeber plant darüber hinaus auch den jährlichen Nachweis des sozialversicherungspflichtigen Verdienstes elektronisch zu verteilen. Im Übrigen sind unsere Abteilungsdrucker derzeit nicht mit einer PIN ausgestattet, so dass praktisch im Falle eines Ausdrucks und gleichzeitigem Kundenanruf der Ausdruck minutenlang im Drucker liegt, wo er oft dann von Kollegen in das entsprechende Fach des Kollegen einsortiert wird – hoffentlich ohne neugierig zu schauen ;). Ist das noch mit Datenschutz vereinbar? Und auch der jährliche Ausdruck ist doch sehr wesentlich für die Rentenversicherung.

  • Ist es zulässig die Mitarbeiterdaten OHNE vorherige Absprache an DATEV weiterzugeben? Lediglich eine E-Mail über die Info der Umstellung ist erfolgt. Weder der MA noch der BR hatte ein Mitspracherecht.
    DATEV benötigt zur Registrierung und Abruf der Dokumente die private Telefonnummer (SMS-Tan). Wie kann man das umgehen? Kann ein Mitarbeiter verlangen, dass ihm die Dokumente wie gewöhnlich zugestellt werden?

    • Das ist eine Frage der individuellen Ausgestaltung. Die private Telefonnummer zum dienstlichen Gebrauch für den Abruf zu verwenden könnte der Verwendung der Privatadresse zur postalischen Zustellung entsprechen, wobei kein Mitarbeiter verpflichtet ist, eine private Mobilfunknummer zur Verfügung zu stellen.

  • Mein Arbeitgeber (Zeitarbeit) hat ein Mitarbeiterportal geschaffen, auf dem ich mich einlogge und Stunden und Reisezeiten eingebe. Es gibt permanenten Ärger. Dort werden Zeiten erfasst (Fehlzeiten) die ich nicht eingegeben noch verursacht habe. Ständig gibt es Differenzen. Kann ich die Teilnahme an der Arbeitszeiterfassung aus triftigem Grund verweigern.
    Gehaltsabrechnungen kamen sonst immer per Post – jetzt nachdem ich die GA-Oktober vermisse soll ich die im „Archiv“ „abholen“. Nachfrage hat ergeben, dass von dieser Vorgehensweise nichts im Vertrag steht.
    Es handelt sich hier um einen großes amerikanisches Zeitarbeitsunternehmen. Eine Nachfrage hat ergeben, dass von diesen geänderten Abläufen nicht im Vertrag steht.
    Ist diese Vorgehensweise eigentlich konform mit uns. Arbeitsgesetzen? Weil ich von ständigen E-Mails der Gehaltsabrechnungsstelle genervt war und mich genötigt sah, habe ich auf Gehaltsbestandteile (Reisekosten September) verzichtet. Da war Ruhe.

    • Ob und unter welchen Voraussetzungen die Einführung eines neuen Zeiterfassungssystems rechtlich zulässig ist, hängt stark von den Verhältnissen in einem Unternehmen ab. Dabei ist z.B. interessant, wie die Zeitabrechnung bisher gehandhabt wurde, ob es einen Betriebsrat gibt und welche genauen vertraglichen Regelungen zur Arbeitszeitabrechnung bestehen. Pauschal lassen sich Ihre Fragen daher leider nicht beantworten.

      Die Arbeitszeiterfassung ist häufig eine Schwachstelle im Unternehmen, hier kann es sehr schnell zu Konflikten zwischen Arbeitgeber und Arbeitnehmer kommen. Um eine Eskalation zu vermeiden, sollten Sie möglichst frühzeitig das Gespräch mit Ihrem Arbeitgeber suchen. Dabei kann es sinnvoll sein, den Betriebsrat einzubeziehen und ggf. zuvor Rat bei einem auf das Arbeitsrecht spezialisierten Rechtsanwalt einzuholen.

  • Guten Tag,

    mir ist klar, dass es sich hier weder um ein Forum und schon gar nicht um eine Rechtsberatung handelt.

    Da ich aber gelesen habe, dass hier durchaus Fragen gestellt und beantwortet wurden und ich die von mir benötigte Information bis jetzt nirgends fand, frage ich einfach mal hier.

    Sachlage ist, dass ich mich im Scheidungsprozess befinde und unterhaltspflichtig bin. Der Anwalt meiner Frau forderte nun Gehaltsabrechnungen, welche ich zur Verfügung stellen wollte, aber keine Möglichkeit fand, den Mailverkehr mit der Kanzlei zu verschlüsseln. Auf Anfrage hieß es, so etwas mache man nicht und beabsichtige dies auch nicht. Daraufhin bot ich verschiedene sicher Übermittlungen, so wie eine kostenfreie Unterweisung in deren Handhabung an. Gegen alles, was nicht, wie im Mittelalter, auf Papier per Post oder, noch schlimmer, in einer unverschlüsselten Mail kommt, sperrt sich diese Kanzlei allerdings stur.

    Ich bin in einem Unternehmen tätig, dass mir Abrechnungen lediglich als PDF zukommen lässt, besitze keinen Drucker und gedenke eigentlich auch nicht, im Jahr 2016 wegen solcher Dinosaurier Geld für Ausdrucke in die Hand zu nehmen. Zumal die Dokumente ja vorliegen und ich freie Software benannte, sowie die Unterweisung in der Handhabung dieser anbot.

    Bin ich heut zu Tage tatsächlich dazu verpflichtet?

    Viele Grüße und vorab Danke für das lesen, sollte jemand mir dies beantworten können, wäre das toll.

    • Halo Looki,

      Es gibt keine Vorschrift, die einen Rechtsanwalt dazu verpflichtet, verschlüsselte Dokumente anzunehmen. Natürlich ist es datenschutzrechtlich problematisch als Rechtsanwalt unverschlüsselte Dateien zu empfangen. Der Rechtsanwalt hat Ihnen aber eine andere Alternative zur Versendung der Datei per Mail als unverschlüsselte PDF, in Form der Versendung per Post angeboten und ist somit seiner Verpflichtung nachgekommen Ihnen eine datenschutzrechtlich sichere Möglichkeit zur Zusendung Ihrer Gehaltsabrechnungen zu bieten.

  • Ob der Arbeitgeber Mitarbeiter auf ein Online-Portal als einzige Möglichkeit zum Erhalt der Entgeltbelege verweisen darf, ist m.E. rechtlich nicht abschließend geklärt. Allerdings scheint mit dem Begriff Textform, auch eine Informationspflicht im Sinne einer Bringeschuld des Arbeitgebers verunbden zu sein.

    Die Mitarbeiter müssen in jedem Fall von der Arbeitgeberin „für jeden Abrechnungszeitraum“ eine Entgeltbescheinigung in Textform „erhalten“.
    Die Verpflichtung „entfällt, wenn sich gegenüber dem letzten Abrechnungszeitraum, mit Ausnahme des Abrechnungszeitraums selbst [..], keine Änderungen ergeben.“

    Die Gewerbeordnung schreibt vor, dass die Abrechnung des Arbeitsentgelts in „Textform“ (§108 Abs.1 Satz 1 GewO) zu geschehen habe. In Absetzung zur „Schriftform“ besitzt diese also ohne Unterschrift des Ausstellers Gültigkeit (vgl. §126 BGB Schriftform). Damit ist auch die digitale Signatur nicht erforderlich.

    Die gesetzliche Anforderungen an die „Textform“ (§126b BGB Textform) umfaßt die Lesbarkeit der Erklärung und eine gewisse Dauerhaftigkeit des Datenträgers/Mediums die dem Arbeitnehmer ermöglicht diese abzuspeichern und aufzubewahren und das die darin abgegebenen Erklärung geeignet ist, unverändert wiedergegeben zu werden.
    Problem Dauerhaftigkeit:
    nicht immer ist bei der verbreiteten PDF-Form das PDF/A bereitgestellt, sodaß ein PDF ansosnten editierbar und dessen unveränderbarkeit in Zweifel zieht.
    Problem der Begrifflichkeit erhalten:
    Die viel wichtigere Frage dreht sich um die Vorgabe der GewO, das Arbeitnehmer die Abrechnung  erhalten!
    Der Arbeitgeber erscheint dabei informationspflichtig und hat aktiv die Abrechnung zum Arbeitnehmer zu transportieren. Diese Vorgabe wäre mit einer (gesicherten) E-Mail erfüllt.
    Die Bereitstellung müsste eigentlich ohne Zutun des Betroffenen erfolgen. Nicht immer sind alle Betroffene in der „Lage“, sich diese Informationen zu beschaffen, nicht alle haben Internet-Zugang im Unternehmen.
    Der Begriff erhalten geht aber weiter.

    Zur Diskussion ZJS S.440

    Die ausschl. Portals-Bereitstellung wäre zulässig, hätte der Arbeitgeber keinen Zugriff auf das Portal oder fände ein Zwangsdownload statt.
    Die bloße Möglichkeit des Speicherns bzw. Ausdruckens genügt jedenfalls ansonsten nicht. Den Betroffenen müßten die Dokumente tatsächlich erreichen.
    „Die Wahrung der Textform wird [durch das BGH] dann bejaht, wenn der Verbraucher die Informationen tatsächlich auf seinem Rechner gespeichert oder sich ausgedruckt hat. Dies wird vor allem damit begründet, dass die Informationen nicht nur vom Unternehmer in einer zur dauerhaften Wiedergabe geeigneten Weise abgegeben werden müssen, sondern dass sie dem Verbraucher auch in dieser Weise zugehen müssen.“

    Zusammenfassung:

    – Einwilligungen bzw. Widerruf akzeptieren wie gehabt
    oder
    – persönl. Ordner im Arbeitsplatz-PC anlegen und diese per Batch-Job dahin kopieren oder verschlüsselt per E-Mail versenden (allerdings haben Mitarbeiter ohne Intranetzugang keine Zugriffsmöglichkeit und müßten postalisch die Abrechnung erhalten)

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.