Externe Lohnabrechnung: DSGVO-konform auslagern

Datenschutz bei externer Lohnabrechnung: So lagern Sie DSGVO-konform aus

Lohn- und Gehaltsdaten gehören zu den sensibelsten personenbezogenen Daten in einem Unternehmen. Wenn Sie die Lohnabrechnung an ein externes Lohnbüro auslagern, müssen Sie die Anforderungen der Datenschutz-Grundverordnung strikt einhalten. Dieser Leitfaden erklärt, worauf Sie achten müssen und wie Sie die Auslagerung rechtssicher gestalten.

Welche Daten werden bei der Lohnabrechnung verarbeitet?

Bei der Entgeltabrechnung fallen zahlreiche personenbezogene und besonders schützenswerte Daten an:

• Stammdaten: Name, Adresse, Geburtsdatum, Steueridentifikationsnummer, Sozialversicherungsnummer
• Beschäftigungsdaten: Eintrittsdatum, Gehalt, Arbeitszeit, Steuerklasse, Kinderfreibeträge
• Bankdaten: Kontoverbindungen für die Gehaltsüberweisung
• Gesundheitsdaten: Krankheitszeiten, Krankenversicherungsstatus, Schwerbehindertenstatus
• Religionszugehörigkeit: Relevant für die Kirchensteuer

Gesundheitsdaten und Religionszugehörigkeit fallen unter die besonderen Kategorien personenbezogener Daten nach Artikel 9 DSGVO und unterliegen einem besonders strengen Schutz. Umso wichtiger ist es, bei der Auslagerung der Lohnabrechnung einen vertrauenswürdigen Partner zu wählen.

Die Rechtsgrundlage: Auftragsverarbeitung nach Art. 28 DSGVO

Wenn Sie die Lohnabrechnung auslagern, handelt es sich rechtlich um eine Auftragsverarbeitung. Sie als Arbeitgeber bleiben der Verantwortliche, das Lohnbüro wird zum Auftragsverarbeiter. Dafür ist zwingend ein Vertrag zur Auftragsverarbeitung (AVV) erforderlich, der mindestens folgende Punkte regelt:

1. Gegenstand und Dauer der Verarbeitung
2. Art und Zweck der Datenverarbeitung
3. Kategorien der betroffenen Personen und personenbezogenen Daten
4. Pflichten und Rechte des Verantwortlichen
5. Technische und organisatorische Maßnahmen zum Schutz der Daten
6. Regelungen zu Unterauftragsverarbeitern
7. Unterstützungspflichten bei Betroffenenanfragen und Datenschutzverletzungen
8. Löschung oder Rückgabe der Daten nach Vertragsende

Technische und organisatorische Maßnahmen (TOM)

Ein seriöses Lohnbüro muss angemessene technische und organisatorische Maßnahmen nachweisen können. Achten Sie auf folgende Punkte:

• Verschlüsselung: Datenübertragung ausschließlich über verschlüsselte Kanäle, idealerweise Ende-zu-Ende-Verschlüsselung.
• Zugriffskontrolle: Nur autorisiertes Personal darf auf die Lohndaten zugreifen. Rollenbasierte Berechtigungskonzepte sind Standard.
• Datensicherung: Regelmäßige Backups und ein dokumentiertes Notfallkonzept.
• Physische Sicherheit: Serverräume müssen gegen unbefugten Zutritt gesichert sein.
• Protokollierung: Alle Zugriffe auf personenbezogene Daten müssen lückenlos dokumentiert werden.
• Mitarbeiterschulung: Das Personal des Lohnbüros muss regelmäßig im Datenschutz geschult werden.

Ihre Pflichten als Arbeitgeber

Auch wenn Sie die Lohnabrechnung auslagern, bleiben Sie als Arbeitgeber für den Datenschutz verantwortlich. Konkret bedeutet das:

• Sorgfältige Auswahl: Sie müssen sich davon überzeugen, dass das Lohnbüro geeignete Datenschutzmaßnahmen getroffen hat. Unsere Checkliste zur Dienstleister-Auswahl hilft Ihnen dabei.
• Vertragliche Absicherung: Der AVV muss vor Beginn der Datenverarbeitung geschlossen werden.
• Regelmäßige Kontrolle: Sie haben das Recht und die Pflicht, die Einhaltung der vereinbarten Maßnahmen zu überprüfen. Ob Sie ein Lohnbüro oder einen Steuerberater beauftragen, spielt dabei keine Rolle.
• Informationspflicht: Ihre Mitarbeiter müssen gemäß Artikel 13 und 14 DSGVO über die Datenverarbeitung durch das externe Lohnbüro informiert werden.
• Verzeichnis der Verarbeitungstätigkeiten: Die ausgelagerte Lohnabrechnung muss in Ihrem Verarbeitungsverzeichnis dokumentiert sein.

Checkliste für die datenschutzkonforme Auslagerung

Nutzen Sie diese Checkliste, um die Auslagerung Ihrer Lohnabrechnung DSGVO-konform zu gestalten:

1. Auftragsverarbeitungsvertrag abschließen und dokumentieren.
2. Technische und organisatorische Maßnahmen des Lohnbüros prüfen und dokumentieren.
3. Mitarbeiter über die externe Verarbeitung informieren.
4. Verarbeitungsverzeichnis aktualisieren.
5. Datenschutz-Folgenabschätzung prüfen, ob eine solche erforderlich ist.
6. Sichere Übertragungswege für Lohndaten einrichten.
7. Regelung für das Ende der Zusammenarbeit treffen, insbesondere Datenlöschung und Datenrückgabe.

Risiken bei Verstößen

Verstöße gegen die DSGVO können empfindliche Strafen nach sich ziehen – ähnlich wie bei einer Betriebsprüfung der Lohnabrechnung. Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes sind möglich. Darüber hinaus drohen Schadensersatzansprüche betroffener Mitarbeiter und erhebliche Reputationsschäden.

Fazit: Datenschutz und Auslagerung schließen sich nicht aus

Die DSGVO-konforme Auslagerung der Lohnabrechnung ist kein Widerspruch, sondern gängige Praxis. Entscheidend ist die Wahl eines professionellen Partners, der Datenschutz ernst nimmt und alle gesetzlichen Anforderungen erfüllt.

Buchmeister – Datenschutz auf höchstem Niveau

Bei Buchmeister hat der Schutz Ihrer Daten oberste Priorität. Wir verarbeiten alle Lohndaten ausschließlich auf Servern in Deutschland, setzen modernste Verschlüsselungstechnologien ein und erfüllen alle DSGVO-Anforderungen. Unsere technischen und organisatorischen Maßnahmen werden regelmäßig überprüft und dokumentiert. Vereinbaren Sie ein Beratungsgespräch und erfahren Sie, wie wir Ihre Lohndaten sicher verarbeiten.