Elektronischer Gehaltszettel

Sensibler Umgang mit elektronischem Gehaltszettel notwendig

Die Digitalisierung schreitet in allen Lebensbereichen voran. Vergleicht man einen Arbeitsplatz von vor 10 oder gar 20 Jahren mit den heutigen Gegebenheiten stellt man gravierende Unterschiede fest. Das papierlose Büro ist zwar längst noch nicht Wirklichkeit geworden, aber immer mehr Dokumente werden digital versandt und archiviert. Auch wenn die monatliche Lohnabrechnung natürlich elektronisch vorgenommen wird, so gehören die „Gehaltszettel“ aber meist noch nicht zu den digital versandten Schriftstücken. „Der elektronische Gehaltszettel ist noch die Ausnahme in Deutschland“, weiß Datenschutzfachmann Dr. Jörn Voßbein von UIMC zu berichten. Wer als Unternehmer den Weg zur papierlosen Lohnabrechnung gehen will, sollte sich vorher mit den Vorgaben des Datenschutzes auseinandersetzen, denn eins ist klar: eine Lohnabrechnung ist ein hochsensibler Datensatz. 

Bei einer Lohnabrechnung handelt es sich um die Weitergabe von personenbezogenen Daten. Gemäß Bundesdatenschutzgesetz sind Maßnahmen zu treffen, die geeignet sind, damit diese Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden. Vor der Einführung der elektronischen Gehaltsabrechnung ist der Betriebsrat einzubinden und die Mitarbeiter umfassend über das Projekt zu informieren. Doch welche rechtlichen Rahmenbedingungen sind einzuhalten?

Zunächst muss ein gängiges, kompatibles Format, etwa das PDF-Format, definiert werden. Dieses sollte digital signiert und gegen nachträgliche Veränderungen geschützt sein. Eine hohe Verschlüsselungsqualität sollte vom Systemhersteller verlangt werden, sonst droht im schlimmsten Fall bei einem Datenschutzvorfall gar die Meldung an die Aufsichtsbehörde. Bei den Inhalten der elektronischen Gehaltsabrechnung ist der Entgeltbescheinigungsrichtlinie und den §§ 126a und 126b BGB Rechnung zu tragen.

Oftmals wird seitens der Systemhersteller im Rahmen der Lohnabrechnung zunächst automatisch ein Passwort generiert. Hierbei hängt die Sicherheit ganz unmittelbar mit der Passwortkomplexität zusammen. Die Datenschützer von UIMC empfehlen ein alphanumerisches Passwort aus mindestens acht Zeichen unter Verwendung von Sonderzeichen und Groß-/Kleinbuchstaben. In keinem Fall sollten Trivialpassworte genutzt werden oder Passworte, die sich aus dem Namen, dem Geburtsdatum oder anderen persönlichen Daten des Mitarbeiters ableiten ließen. In der Natur der Sache eines Passwortes liegt es, dass es geheim zu halten ist. Gerade bei der Geheimhaltung in einem Unternehmen sind deshalb des Weiteren zu beachten: a) Das Passwort darf nur dem Mitarbeiter bekannt sein – einzige Ausnahme: Mitarbeiter der Personalabteilung, die ohnehin Zugriff auf die Lohndaten haben, b) Das Passwort ist dem Mitarbeiter persönlich und sicher zu übergeben (beispielsweise im Rahmen einer Papier-Lohnabrechnung).

Der Versand der elektronischen Lohnabrechnung sollte nach Auffassung von UIMC nur bei ausdrücklichem Verlangen des Mitarbeiters an eine private E-Mail-Adresse erfolgen. Dies sollte dokumentiert werden. Gerade das Sicherheitsniveau der zumeist kostenfreien Mail-Provider ist sehr unterschiedlich. Wenn also keine dienstliche Mail-Adresse vorhanden ist, empfiehlt es sich, den bisherigen Papierweg beizubehalten. Selbstverständlich sind auch andere technische Lösungen (Intranet) vorstellbar, aber die hohen Sicherheitsanforderungen bleiben bestehen.

Fazit: Bei der elektronischen Lohnabrechnung zeigen sich komplexe datenschutzrechtliche Sachverhalte, die seriös von jedem Unternehmen abgearbeitet werden müssen. „Ansonsten könnte es nicht nur Ärger mit dem Datenschutz geben, sondern auch mit der Belegschaft. Nicht auszudenken, welche Unmut durch unberechtigte Einsichtnahmen in Lohnabrechnungen entsteht, nur weil der Datenschutz nun unzulänglich betrachtet wurde“, weist Dr. Jörn Voßbein auf die Risiken der elektronischen Lohnabrechnung hin und mahnt einen sensiblen Umgang an.