Einleitung und Hintergrund
Es gibt zwei Bereiche im Rahmen des Datenschutzes, die zu berücksichtigen sind:
1. Das Verarbeitungsverzeichnis: Grundsätzlich ist von Jedermann gem. Art. 30 I und II DSGVO ein Verzeichnis über die Datenverarbeitungen (Verarbeitungsverzeichnis) in seinem Unternehmen zu führen, um es auf Nachfrage hin den Datenschutzbehörden vorzeigen zu können. Es gibt Ausnahmen gemäß Art. 30 V DSGVO, diese gelten jedoch nicht für den Prozess der Lohnabrechnung, da hier besondere Kategorien von personenbezogenen Daten verarbeitet werden und die Verarbeitung regelmäßig, nämlich jeden Monat, durchgeführt wird.
Also sind auch Sie als kleine Firma bzw. Handwerksunternehmen betroffen.
Die nachfolgenden Textbausteine bieten Ihnen eine Grundlage zur Erstellung dieses Verzeichnisses für den Prozess der "Lohnabrechnung". Es kann aber auch als Modell für andere Verarbeitungstätigkeiten genutzt werden.
Allen einzelnen Verarbeitungstätigkeiten werden allgemeine Informationen über das Unternehmen im Verarbeitungsverzeichnis vorangestellt. So ist anzuführen für welches Unternehmen das Verzeichnis geführt wird, wer Geschäftsführer und Verantwortlicher für die dort genannten Prozesse ist und wie dieser erreicht werden kann.
2. Die Information der Betroffenen (also der Mitarbeiter): Über jede Verarbeitung von personenbezogenen Daten muss gemäß Art. 13 DSGVO der Betroffene informiert werden. Bestenfalls legen Sie Ihren Beschäftigten eine entsprechende Information direkt bei Beschäftigungsbeginn vor und danach bei Änderungen erneut.
Im Folgenden wollen wir Ihnen aufzeigen, wie eine solche Information aussehen kann. Sie können die Textbausteine nach einigen Anpassungen und Streichung nicht passender Passagen direkt für Ihre Beschäftigten verwenden. Außerdem können Sie dieses Dokument als Beispiel für eine Information über einen Verarbeitungsprozess nutzen und vom Prinzip her auf andere Verarbeitungsprozesse in Ihrem Betrieb übertragen.
Im Ergebnis ähnelt die Information der Beschäftigten sehr den Angaben im Verarbeitungsverzeichnis, weshalb meistens die Angaben daraus übernommen werden können. So sollten den Informationen über einzelne Verarbeitungsprozesse, so wie im Verarbeitungsverzeichnis auch, die Angabe allgemeiner Kontaktinformationen des Betriebes und des Verantwortlichen vorangestellt sein, sodass die oder der Beschäftigte sich bei Fragen über die Verarbeitung von personenbezogenen Daten an Sie wenden kann.
Für mehr Informationen empfehlen wir Ihnen, sich an Ihre HWK oder die IHK Ihrer Wahl zu wenden!
Hinweis zu diesen Textbausteinen
Nachfolgend finden Sie Textbausteine, die Sie als Quick-Lohn-Kunde nutzen können.
Wir haben die Kapitel so strukturiert, wie eine typische Datenschutz-Dokumentation aussieht, so können Sie im besten Fall die Textbausteine kapitelweise direkt übernehmen.
Kursiv finden Sie Hinweise und die Aufforderung, nicht Zutreffendes zu streichen.
Textbausteine für: Die Lohnabrechnung im Verarbeitungsverzeichnis
Zweck der Datenverarbeitung Zweck der Lohnabrechnung ist es Lohn-, Gehalts, Bezügeabrechnung, sowie Lohnbelege zu erstellen und in die Stammdatenverwaltung zu integrieren. Diese Abrechnungen werden durchgeführt, um unsere arbeitsvertraglichen Pflichten zu erfüllen und gleichzeitig unseren rechtlichen Verpflichtungen gerecht zu werden.
Ansprechpartner Die Lohnabrechnung wird bei uns ... (Name des Abrechners im Unternehmen einfügen) durchgeführt und dieser ist gleichzeitig der Ansprechpartner für diesen Prozess in unserem Unternehmen.
Betroffene Personengruppen Von der Verarbeitung sind alle von uns Beschäftigten betroffen.
Kategorien betroffener personenbezogenen Daten Die Lohn- und Gehaltsabrechnung umfasst typischerweise folgende Kategorien von personenbezogenen Daten des Arbeitgebers oder des Arbeitnehmers: Sozialdaten, Krankenkassen, Geburtsdatum, Kontaktdaten, Beschäftigungsverhältnisse und Beschäftigungszeitraum, Abrechnungszeitraum, Personalnummer, Gehalt und Angaben über Lohn, Urlaub, Zeitkonten, Versicherungsnummern, Steueridentifikationsnummer, Steuerdaten, Überstunden, Personen- und Beitragsgruppe, Steuerklasse, Kirche, Bankdaten, E-Mail, Telefonnummer, Adresse, Ausfallzeiten bzw. Krankheitsdaten. Mit den Angaben über die Kirchenzugehörigkeit fallen Religionsdaten an, die genauso wie die Krankheits- bzw. Fehlzeiten als Gesundheitsdaten besondere Kategorien von personenbezogenen Daten gem. Art. 9 I DSGVO sind.
Empfänger der Daten Als externe Empfänger kommen Finanzamt, Sozialversicherungsträger sowie wenn zutreffend die Urlaubskassen in Kontakt mit einzelnen Daten aus diesem Prozess. Da wir die Datenverarbeitung mit der Software Quick-Lohn durchführen, kommt diese Firma als eingesetzter Auftragsverarbeiter in Kontakt mit den Daten aus diesem Prozess. Quick-Lohn Software GmbH / Wiesenstraße 32 / 16230 Britz Die Quick-Lohn Software GmbH setzt weitere Subauftragnehmer ein, die in Kontakt mit den Daten aus diesem Prozess kommen. Die Subauftragnehmer werden im > Vertrag zur Auftragsverarbeitung aufgezählt und können dort eingesehen werden. Ferner sind hier weitere Empfänger einzutragen, die Sie im Einzelfall mit einbeziehen. Dies ist typischerweise der Fall, wenn Sie über eine Exportschnittstelle von Quick-Lohn die Lohnabrechnungsdaten in ein Buchführungssystem übertragen. Empfänger ist sodann das Buchführungssystem, wenn es cloudbasiert arbeiten sollte. Außerdem ist regelmäßig der Steuerberater anzuführen, z. B. so: "Ferner werden die Daten am Ende des Geschäftsjahres an unseren Steuerberater weitergeleitet." (Wenn nicht zutreffend bitte streichen).
Übermittlung der Daten an ein Drittland Alle an der Lohnabrechnung Beteiligte verarbeiten Daten ausschließlich in Deutschland. Es findet keine Übermittlung der Daten in Drittstaaten statt. (Für Quick-Lohn trifft das zu, wenn es auch für Sie zutrifft, können Sie es so stehen lassen.)
Löschfrist Die Daten werden grds. zehn Jahre mit Schluss des Jahres der letzten Eintragung bzw. Erstellung der Abrechnung aufbewahrt. Die Erlaubnis zur Speicherung der Daten folgt dabei aus Art. 6 I 1 lit. c) DSGVO i.V.m. § 147 III, I Nr. 1, 4 und 4a AO, § 14b I UStG. Sie sind für die Speicherung der Daten selbst verantwortlich. Eine Unterstützung, im Sinne einer Datensicherung, kann Ihnen dabei die Quick-Lohn Datensicherung gewähren. Wenn Sie davon Gebrauch machen, werden Ihre Daten dort für 10 Jahre aufbewahrt.
Rechtsgrundlage der Datenverarbeitung Als Rechtsgrundlage für die Datenverarbeitung im Zuge der Lohnabrechnung kann § 26 I 1 Alt. 2 BDSG herangezogen werden. Ferner verpflichtet uns die GewO, die AO, sowie das SGB zur Durchführung der Lohn- und Gehaltsabrechnung, weshalb auch Art. 6 I 1 lit. c) DSGVO einschlägig ist. Rechtfertigungsgrund für die Verarbeitung von besonderen Kategorien von personenbezogenen Daten ist § 26 III BDSG. Für die Kommunikation mit Daten zwischen uns und den Finanzbehörden greift Art. 6 I 1 lit. c) DSGVO i.V.m. § 41 a ff. EStG. Art. 6 I 1 lit. c) DSGVO i.V.m. § 28 ff. SGB IV gilt für die Meldepflichten gegenüber den Sozialversicherungsträgern.
Technische und organisatorische Sicherheitsmaßnahmen Technische und organisatorische Sicherheitsmaßnahmen speziell diesen Prozess betreffend werden unter anderem von der Software Quick-Lohn durchgeführt: Sie führt Plausibilitätskontrollen durch und verhindert so Fehleingaben. Die Software ist krankenkassenseitig durch die ITSG systemgeprüft, und nutzt die Beitragssatzdatei der Krankenkassen. Der Zugriff auf die Lohnabrechnungsdaten ist passwortgeschützt. (Wenn nicht zutreffend, bitte streichen. Wie das geht lesen Sie > hier.) Die Vergabe des Passwortes erfolgt durch … (Namen einsetzen). Das Passwort ist nur folgender Person / folgenden Personen bekannt …(Namen einsetzen). Für den Versand der elektronischen Meldungen an das Quick-Lohn-Meldecenter ist ein Passwort nötig. Die Datensicherung der Lohndaten erfolgt durch eine Sicherung des gesamten PCs / durch die Sicherungsfunktion von Quick-Lohn lokal / durch die Sicherungsfunktion von Quick-Lohn online. (Nichtzutreffendes bitte streichen. Mehr zur Sicherungsfunktionalität > hier). Werden Belege in Papierform aufbewahrt erfolgt eine verschlossene Aufbewahrung. Nach dem Ablauf der Aufbewahrungsfrist werden die Daten datenschutzkonform, nach einem angemessenen Stand der Technik, gelöscht. Weitere technische und organisatorische Sicherheitsmaßnahmen können auch dem Vertrag zur Auftragsverarbeitung mit der Quick-Lohn Software GmbH entnommen werden. Zusätzlich können an dieser Stelle weitere technische oder organisatorische Maßnahmen zum Schutz personenbezogener Daten notiert werden, die von Ihnen eingerichtet worden sind. Hierzu können sowohl Maßnahmen zählen, die nur den Prozess der Lohnabrechnung betreffen, als auch welche, die übergeordneter Natur sind und den sicheren Umgang mit personenbezogenen Daten im gesamten Unternehmen, alle Prozesse übergreifend, sicherstellen. Hierzu können bspw. zählen: Verschwiegenheitserklärungen, automatisch erfolgende Sicherheitsupdates bei genutzten Systemen, Virenschutzprogramme, sichere Aufbewahrung in verschlossenen Aktenschränken oder gesicherten Orten, regelmäßige Backups von Daten, korrekte E-Mail Kommunikation (BCC und CC), Beschäftigtenschulungen, verschlüsselte Geräte und Festplatten, streng kontrollierte Verträge zur Auftragsverarbeitung, ausschließliche Verarbeitung von Daten in Deutschland oder der EU, Passwortabfragen, differenzierende Berechtigungssystem, Pseudonymisierungen, VPN-Zugänge, Timeouts und automatische Bildschirmsperren.
|
Weitere Verarbeitungsprozesse für welche die Pflicht zur Führung eines Verarbeitungsverzeichnisses besteht und die typischerweise in Handwerksunternehmen anfallen können
(Zu Ihrer Information) •Beschäftigtenverwaltung, wie Personalakte, Unterlagen aus Personalgesprächen, Personalbeschaffung, Arbeitszeitüberwachung •Kundendatenverwaltung, wie Auftragsverwaltung, Datenspeicherung, Kontaktmöglichkeiten oder Werbemaßnahmen •Geschäftsverwaltung, wie Handelsbriefe, Lieferscheine und Rechnungen •Internetauftritt, Hoster einer Website •GPS-Kontrolle von Firmenwagen •Diverse Kommunikationskanäle •Fotos von Beschäftigten |
Textbausteine für: Datenschutzinformation für Ihre Beschäftigten über die Verarbeitung von personenbezogenen Daten durch die Lohn- und Gehaltsabrechnung
Zwecke der Verarbeitung Wir verarbeiten im Zuge der Lohn- und Gehaltsabrechnung personenbezogene Daten der Beschäftigten. Die Verarbeitung erfolgt aufgrund von gesetzlichen Vorschriften, die uns zu dazu verpflichten.
Kategorien von verarbeiteten personenbezogenen Daten Zu den hierbei verarbeiteten Daten zählen Sozialdaten, Krankenkassendaten, Geburtsdatum, Kontaktdaten, Beschäftigungsverhältnisse und Beschäftigungszeitraum, Personalnummer, Gehalt und Angaben über Lohn, Urlaub, Zeitkonten, Versicherungsnummern, Steueridentifikationsnummer, Steuerdaten, Überstunden, Personen- und Beitragsgruppe, Steuerklasse, Kirche, Bankdaten, E-Mail, Telefonnummer und Adresse. Die Religionszugehörigkeit bzw. Kirchendaten sowie Angaben über Krankheiten als Gesundheitsdaten stellen dabei besondere Kategorien von personenbezogenen Daten dar.
Auf welche Rechtsgrundlage stützen wir die Verarbeitung dieser Daten? Als Rechtsgrundlage für die Durchführung der Lohnabrechnung dient uns § 26 I 1 Alt. 2 BDSG, wobei § 26 III BDSG explizit die Verarbeitung von besonderen Kategorien von personenbezogenen Daten als zulässig erklärt. Unsere rechtliche Verpflichtung zur Durchführung dieser Verarbeitung, die sowohl Art. 6 I 1 lit c), als auch § 26 III BDSG fordert, ergibt sich dabei aus § 108 GewO, § 149 I 1 AO und §§ 28 ff SGB IV. Die Übermittlung einiger dieser Daten an das Finanzamt wird dabei durch § 41 b ff. EStG gerechtfertigt. Die rechtliche Verpflichtung und Ermächtigung einige dieser Daten an die Sozialversicherungsträger zu übermitteln besteht nach §§ 28 ff. SGB IV.
Wie lange speichern wir Ihre Daten? Die Erlaubnis zur Speicherung dieser Daten für zehn Jahre mit Schluss des Jahres der letzten Eintragung bzw. Erstellung einer dieser Abrechnungen bzw. Belege ergibt sich aus Art. 6 I 1 lit. c) DSGVO i.V.m. § 147 III, I Nr. 1, 4 und 4 a AO, § 14b I UStG.
Wer kommt außer uns mit diesen personenbezogenen Daten in Kontakt? Als externe Empfänger kommen Finanzamt und Sozialversicherungsträger sowie ggf. Urlaubskassen (Urlaubskassen wenn nicht Zutreffend streichen) in Kontakt mit einzelnen Daten aus diesem Prozess. Da wir die Datenverarbeitung mit der Software Quick-Lohn durchführen, kommt dieser als eingesetzter Auftragsverarbeiter in Kontakt mit den Daten aus diesem Prozess: Quick-Lohn Software GmbH / Wiesenstraße 32 / 16230 Britz Des Weiteren setzt diese Firma weitere Subauftragnehmer ein, die in Kontakt mit den Daten dieser Verarbeitung kommen. Diese können dem Vertrag zur Auftragsverarbeitung entnommen werden. Ferner können weitere Auftragsverarbeiter und Subauftragnehmer dieser Art in Kontakt mit den Daten aus diesem Prozess kommen. Sie können zu Zwecken der Transparenz bspw. den Empfänger eintragen, wenn Sie über eine Exportschnittstelle von Quick-Lohn die Lohnabrechnungsdaten in ein Buchführungssystem übertragen. Außerdem ist regelmäßig der Steuerberater anzuführen, z. B. so: "Ferner werden die Daten am Ende des Geschäftsjahres an unseren Steuerberater weitergeleitet." (Wenn nicht zutreffend bitte streichen).
Datenübermittlung ins EU-Ausland Eine Datenübermittlung ins Ausland findet dabei nicht statt. (Für Quick-Lohn trifft das zu, wenn es auch für Sie zutrifft, können Sie es so stehen lassen.)
Weitere allgemeine Informationspflichten Sobald Sie alle oben angegeben Informationen zu allen bei Ihnen stattfindenden Prozessen angeführt haben, müssen Sie einige allgemeine datenschutzrechtliche Informationen an Ihre Beschäftigten weitergeben, die alle Prozesse übergreifend betreffen. Hierzu gehört zumindest ein Hinweis auf die Rechte, die sich aus der DSGVO ergeben. Einzelheiten finden sich insbesondere in Artikel 15 bis 18 und 20 sowie 21 der Datenschutz-Grundverordnung. Hieraus stehen den Betroffenen unter Umständen ein Recht auf Auskunft, Recht auf Berichtigung, Recht auf Löschung, Recht auf Einschränkung der Verarbeitungen, Recht auf Widerspruch, Recht auf Beschwerde sowie ein Recht auf Datenübertragbarkeit zu. Selbstverständlich sind die dort genannten Rechte keine absoluten Rechte und bedürfen immer einer Prüfung im Einzelfall. Auch bei der Lohnabrechnung ist der Arbeitgeber zur Verarbeitung von personenbezogenen Daten verpflichtet. Einem Widerspruch oder einer Löschung von Daten ist folglich regelmäßig nicht zu folgen. Trotzdem sind solche Anfragen zu beantworten.
|
Hinweis für beauftragte Lohnbüros / Steuerberater
Wir haben sowohl Kunden, die Arbeitgeber sind und ihren Lohn selbst abrechnen, als auch Lohnbüros, die mit der Abrechnung von einem Arbeitgeber beauftragt wurden. Für diese gelten die nachfolgenden Ausführungen: •Selbstabrechner und Steuerberater → Diese sind bei der Lohnabrechnung "Verantwortliche" oDer Steuerberater oder die Steuerberaterin erbringen Ihre Leistungen gem. § 11 II 1 StBerG “weisungsfrei”. § 11 II 1 StBerG bezieht sich aber ausschließlich auf die in § 3 StBerG bezogenen Personengruppen, nicht aber bspw. auf kaufmännische Ausbildungsberufe. Gerade die Weisungsabhängigkeit ist zentraler Bestandteil der Auftragsverarbeitung im Rahmen der DSGVO. •Lohnbüros → Diese sind bei der Lohnabrechnung "Auftragsverarbeiter" oEin beauftragtes Lohnbüro erbringt gegenüber dem Arbeitgeber eine Auftragsverarbeitung. oDas Lohnbüro muss mit dem Auftraggeber einen Vertrag zur Auftragsverarbeitung gem. Art. 28 III DSGVO abschließen. oFerner ist ein Verarbeitungsverzeichnis in der obigen Form zu führen. Dies muss sich aber zusätzlich auf die Verarbeitungen der Auftragsverarbeitung beziehen. oInsofern sind möglicherweise die Betreuung der Arbeitgeber, eventuelle Schnittstellen, Speicherdienste und ähnliches zu dokumentieren. oDie oben dargestellte Informationspflicht gegenüber der abgerechneten Personen gem. Art. 13 DSGVO ist dann nicht vom Lohnbüro zu erfüllen, sondern vom Auftraggeber/Arbeitgeber. Allerdings sollte als zusätzlicher Empfänger der Daten auch das entsprechende Lohnbüro eingetragen werden. oDas Lohnbüro sollte also die o. g. Textblöcke so an den Arbeitgeber weitergeben.
|