Motivation und Nutzen für die soziale Einrichtung
Eine korrekte Lohn- und Gehaltsabrechnung für die Angestellten und die Mitarbeiter/innen in sozialen Einrichtungen ist herausfordernd. Häufig übertragen sie diese Aufgaben an spezialisierte Dienstleister, die diese Aufgabe kompetenter und kostengünstiger durchführen können. Alternativ führen häufig zentrale Abrechnungsstellen die Abrechnungen für alle verbundenen Einrichtungen durch. Der folgende Beitrag betrachtet mögliche Fallstricke und bietet Lösungen für einen datenschutzkonforme Gestaltung.
Wer ist Verantwortlicher für die Verarbeitung personenbezogener Daten?
Verantwortlicher im Sinne der Datenschutzgesetze (Datenschutz-Grundverordnung (DS-GVO) oder Bundesdatenschutzgesetz (BDSG)) ist immer die Einrichtung, die „… allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet …„. Sofern diese Verarbeitung von personenbezogenen Daten nicht durch die verantwortliche Stelle selbst erfolgt, sondern durch eine beauftragte natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, kann es sich bei diesem Dienstleister gegebenenfalls um einen sogenannten Auftragsverarbeiter handeln.
Wie erfolgt eine legitime Datenweitergabe an den Dienstleister?
Die rechtliche Legitimation für die Weitergabe von (sensiblen) personenbezogenen Daten im Auftrag regelt Artikel 28 DS-GVO. Die Auftragsverarbeitung erfolgt auf Grundlage eines Vertrages, der den „Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festlegt“. Das Wesen der Auftragsverarbeitung besteht dabei immer in der weisungsgebundenen Verarbeitung der personenbezogenen Daten und der Beachtung und verbindlichen Einhaltung der durch die Auftragsverarbeitungs-Vereinbarung dokumentierten Inhalte. Dazu gehören insbesondere Nachweise des Dienstleisters, inwieweit dieser durch konkret beschriebene Maßnahmen die Sicherheit der Verarbeitung nach Artikel 32 DS-GVO erfüllt. Die Datenweitergabe und Verarbeitung der Beschäftigtendaten beim Dienstleister ist erst möglich, wenn die vertraglichen Anforderungen erfüllt sind und die Schutzmaßnahmen sorgfältig geprüft wurden.
Darf durch den Dienstleister weiterbeauftragt werden?
Aufgrund der Spezialisierung bei der Lohn- und Gehaltsabrechnung stellt sich die Frage, ob der Auftragsverarbeiter weitere Dienstleister (Unterauftragnehmer) hinzuziehen darf, z.B. indem die eigentliche Abrechnung durch ein Abrechnungszentrum wie die DATEV (bei Steuerberatern oftmals genutzt) erfolgt. Ausdruck, Kuvertieren und Frankieren sind weitere Dienstleistungen, die häufig durch spezialisierte Unterauftragnehmer übernommen werden. Je mehr Parteien an der Verarbeitungskette beteiligt sind, desto größer ist das Fehlerrisiko und desto größer das Risiko des Verantwortlichen, dass in dieser Verarbeitungskette etwas „schief geht“. So könnte zum Beispiel beim Ausdruck, Kuvertieren und der Zusendung von Gehaltsabrechnungen ein Fehler passieren, der zu einem Datenschutzverstoß führt (gleiche Personalnummern im Verbund von Einrichtungen, die bei falscher Selektion dazu führten, dass Mitarbeiter auch fremde Lohnabrechnungen erhalten). Dieser Vorfall wäre dann bei der Aufsichtsbehörde meldepflichtig und die Betroffenen zudem zu informieren! Entlang der Beauftragungskette sind Anforderungen an die Auftragsverarbeitung von allen Beteiligten durch vertragliche Vereinbarungen sicherzustellen.
Besonderheit bei Lohn- und Gehaltsabrechnung durch eine/n Steuerberater/in
Ist ein Steuerberater ein Auftragsverarbeiter? Zu dieser Frage herrschte lange Unsicherheit. Die einen argumentierten, dass ein Steuerberater aufgrund seines Berufsrechts immer weisungsfrei handelt. Somit läge keine Auftragsverarbeitung nach Artikel 28 DS-GVO vor, da diese weisungsgebunden sein müsse. Die anderen waren der Auffassung, dass die Lohn- und Gehaltsabrechnung als Auftragsverarbeitung zu werten sei, wenn sie durch einen Dienstleister durchgeführt wird und dieser nicht Steuerberater ist. Die Frage ist nun beantwortet:
Durch Anpassungen im Steuerberatungsgesetz (StBerG) wird nunmehr ausdrücklich klargestellt, dass „die Leistungen der Steuerberater für ihre Mandanten immer als eigenständige Fachleistungen anzusehen sind. Ihre Tätigkeit erfolgt stets in eigener Verantwortung und ist keine Auftragsverarbeitung im Sinne des Datenschutzrechts. Dies gilt insbesondere auch für den Bereich der Lohn- und Gehaltsabrechnung.“ Im Gegensatz zu einem Rechenzentrum nehmen Steuerberater auch bei der Lohn- und Gehaltsbuchführung fortlaufend steuerrechtliche und sozialversicherungsrechtliche Würdigungen vor. Hierzu sind sie bereits mit Blick auf ihre besonderen Berufspflichten angehalten. Im Vordergrund steht damit stets ihre eigenverantwortliche fachliche Prüfungs- und Beratungsleistung. Einzelne Datenschutzbehörden hatten abweichenden Auffassungen vertreten.
Empfehlung: Bei der Lohn- und Gehaltsabrechnung durch Steuerberater/innen sollten durch eine Datenschutzvereinbarung ähnliche Regelungen getroffen werden, die Inhalte einer Auftragsvereinbarung wären. Zudem sollte der/die Steuerberater/in sichergestellt haben, dass mit dem genutzten Abrechnungszentrum (z.B. DATEV) eine vertragliche Vereinbarung zur Auftragsverarbeitung besteht.
Fazit
Datenschutzkonformes Outsourcing der Lohn- und Gehaltsabrechnung in sozialen Einrichtungen und damit Weitergabe von Beschäftigtendaten? Durchaus möglich, solange die Anforderungen an Datenschutz und Datensicherheit berücksichtigt und verbindliche Vorgaben eingehalten werden. Insbesondere ist zu prüfen, ob eine Auftragsverarbeitung abzuschließen ist. Wenn ein Steuerberater die Aufgaben übernimmt, so ist dies nicht mehr erforderlich.
(Dieser Beitrag entspricht unseren Erfahrungen in der Betreuung von sozialen Einrichtungen und stellt keine Rechtsberatung dar. Wenn Sie zu diesem Thema Beratung wünschen, freuen wir uns über Ihre Kontaktaufnahme und helfen gerne weiter).
von Thorsten Jordan
Bildquelle: Bild von Gerd Altmann auf pixabay
2 Antworten auf „Datenschutzkonformes Outsourcing von Lohn- und Gehaltsabrechnung in sozialen Einrichtungen“
Danke für diesen informativen Beitrag über Outsourcing von Lohnabrechnungen. Gut zu wissen, dass man einiges für den Datenschutz berücksichtigen muss. Wir haben eine Beratung für die Lohnabrechnung mit der wir im ständigen Kontakt stehen und können die Aufgabe so im Unternehmen ausführen.
Das freut uns, wenn Ihnen der Beitrag weitergeholfen hat. Für Ihre Beratung dürfte relevant sein, dass Sie prüfen, ob Sie mit Ihren Kunden eine Auftragsverarbeitung nach Art. 28 DS-GVO abschließen müssen oder nicht.