Digitalisierung der Lohnabrechnung – Versand per E-Mail
Compliance

Digitalisierung der Lohnabrechnung – Versand per E-Mail

In Zeiten von Home-Office und fortschreitender Digitalisierung von bisher papierorientierten Prozessen stößt man schnell auf das teure Kuvertieren von Lohnabrechungen in gedruckter Form und Versenden per Post an die private Adresse des Mitarbeitenden.

Der datenschutzkonforme E-Mailversand von Lohnabrechnungen ist nicht ohne weiteres möglich, denn eine Lohnabrechnung enthält besonders schützenswerte Daten wie das Gehalt, die Religionszugehörigkeit und die Sozialversicherungsnummer. Deshalb ist das Einhalten datenschutzrechtlicher Bestimmungen höchstes Gebot.

Von der einfachsten Möglichkeit, dem Versenden per E-Mail als Dateianhang, rate ich ab. Die Gefahren einer zudem oft unverschlüsselt versandten E-Mail liegen schon bei der Versendung selbst. Kleinere Rechtsschreibfehler in der E-Mail-Adresse bewirken, dass der falsche Empfänger eine fremde Gehaltsabrechnung erhält, bedingt durch die Outlook-Autovervollständigung vielleicht sogar eine firmenfremde Person. Es gibt aber verschiedene Möglichkeiten, den Versand datenschutzkonform und sicher zu gestalten.

Grundsätzlich laufen alle Verfahren darauf hinaus, dass sichergestellt sein muss, dass nur der berechtigte Empfänger die Mail erhält und sie auf dem Weg dorthin nicht von Dritten (beabsichtigt oder auch unbeabsichtigt) eingesehen werden kann. Ist dies gewährleistet, endet die Verantwortung des Arbeitgebers.

Drei Alternativen möchte ich Ihnen kurz vorstellen:

  1. Der sicherste Transportweg wird durch eine end-to-end-Verschlüsselung gewährleistet. Denn nur mit dieser wird auch der Inhalt einer E-Mail geschützt. Hierfür stehen verschiedene Verschlüsselungssysteme zur Verfügung wie die Kryptographiesysteme PGP und S/MIME. Die hierfür notwendigen Zertifikate sind – je nach Anspruch an das Sicherheitsniveau und den Support – sowohl kostenlos als auch kostenpflichtig erhältlich.
    Allerdings ist dies ein nicht ganz einfaches Verfahren, welches meist nicht im Unternehmen implementiert ist und auch nicht „mal eben“ eingeführt werden kann – schon gar nicht auf der Seite der Mitarbeiter.
  2. Eine weitere Variante ist der Zugriff über eine verschlüsselte Seite des Intranets im Unternehmen oder des Lohnabrechnungs-Dienstleisters. Damit ist intern schon ein zweistufiges Berechtigungssystem gegeben. Der Mitarbeitende muss sich zuerst im Intranet autorisieren und in einem zweiten Schritt kann er mit seinen Benutzerdaten auf die dort zur Verfügung gestellte elektronische Gehaltsabrechnung zugreifen. Diese Möglichkeit sollten Sie mit Ihrem Anbieter klären.
  3. Eine einfachere Version ist die Möglichkeit, eine PDF-Datei passwortverschlüsselt an die validierte Empfängeradresse zu schicken, sodass nur die berechtigte Person auf die Gehaltsabrechnung Zugriff hat. Das Passwort könnte z.B. die Personalnummer sein. Hier könnte allerdings manueller Aufwand in der Personalabteilung entstehen, wenn das Lohnprogramm die Möglichkeit der automatischen Erstellung einer verschlüsselten Abrechnung nicht unterstützt. Auch dies können Sie mit dem Anbieter für das Lohnabrechnungsprogramm klären.

Die spannende Frage ist aber: Wie geht es nun weiter? In der Regel wird sich der Mitarbeiter die elektronische Gehaltsabrechnung ausdrucken wollen. Hierzu sollte im Office ausschließlich ein entweder direkt am Arbeitsplatz befindlicher Drucker ausgewählt werden können oder ein Netzwerkdrucker mit einer Ident-Funktion. Letzteres ist notwendig, damit nicht eine ausgedruckte Lohnabrechnung von Kollegen*innen, die z.B. gerade am Zentraldrucker stehen, gelesen werden kann. Eine schwache, nicht ganz datenschutzkonforme Lösung ist, den Ausdruck am zentralen Drucker so zu organisieren, dass die Lohnabrechnung mit der bedruckten Seite nach unten liegt. Hier besteht allerdings immer noch ein Restrisiko, dass das Dokument von unberechtigten Dritten eingesehen werden kann. Der Ausdruck im privaten Bereich liegt nicht mehr in Ihrer Verantwortung als Arbeitgeber.

Unerheblich ist beim digitalen Versand, ob die Entgeltabrechnung an die private oder geschäftliche E-Mail-Adresse des Mitarbeitenden geschickt wird, solange die aufgeführten Aspekte berücksichtigt werden.

Fazit

Am einfachsten ist der Versand per E-Mail mit der verschlüsselten Lohnabrechnung im Anhang. Dabei sind folgende Dinge zu berücksichtigen:

  • Entscheidend ist, in welchem Format die Lohnabrechnung gespeichert wird. Die Speicherung und der Versand als PDF gelten als unproblematisch. Die Lohnabrechnung als PDF bietet sich an, weil sie leicht zu erstellen ist und sich bei Bedarf ausdrucken lässt. Dies ist wichtig, weil durch § 108 der Gewerbeordnung vorgeschrieben wird, dass eine Lohnabrechnung druckbar sein muss. Zudem sollte die PDF-Datei passwortverschlüsselt werden, sodass nur berechtigte Personen auf die Gehaltsabrechnung Zugriff haben. Hier könnte man darüber nachdenken, dass das Passwort z.B. die Personalnummer der betroffenen Person sein könnte. Bei der Erstellung sollte darauf geachtet werden, dass es ein weitestgehend unveränderbares Unterformat – wie PDF/A – genutzt wird. In der Mail selbst sollten keine personenbezogenen Daten enthalten sein.
  • Damit E-Mails auf dem Sendungsweg nicht mitgelesen werden können, müssen die Mailserver sowohl des Absenders als auch des Adressaten eine Transportverschlüsselung wie das TLS-Protokoll aufweisen.

Fragen, Feedback und Kommentare zu diesem Beitrag senden Sie bitte an r.vgehlen@acent.de

Roland von Gehlen | 28.04.2020

Ähnliche Beiträge

15.08.2024 | Hermann Leucker

Umsetzung der EU NIS 2 Directive

15.08.2024 | Roland von Gehlen

KI und Datenschutz im Unternehmen

Mehr laden
Mehr laden
Weniger anzeigen
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.