Die Gehaltsabrechnung ist eine zentrale Verarbeitungstätigkeit, die sowohl reguläre als auch besondere Kategorien personenbezogener Daten umfasst.
Rechtsgrundlage: Die Verarbeitung ist für die Durchführung des Arbeitsvertrags erforderlich (Art. 6 Abs. 1 lit. b DSGVO, Paragraph 26 Abs. 1 BDSG) und teilweise zur Erfüllung gesetzlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO) - insbesondere Steuer- und Sozialversicherungsrecht.
Sensible Daten: Die Gehaltsabrechnung enthält regelmäßig besondere Datenkategorien: Religionszugehörigkeit (für Kirchensteuer), Schwerbehindertenstatus (für Zusatzurlaub und Schwerbehindertenabgabe), ggf. Gewerkschaftszugehörigkeit (bei Tarifbindung). Diese Verarbeitung ist nach Paragraph 26 Abs. 3 BDSG zuläßig, wenn sie zur Erfüllung arbeits- und sozialrechtlicher Pflichten erforderlich ist. Angemessene Schutzmassnahmen nach Paragraph 22 Abs. 2 BDSG sind erforderlich.
Vertraulichkeit: Gehaltsdaten sind streng vertraulich zu behandeln. Der Zugang muss auf die für die Abrechnung zuständigen Personen beschränkt werden (Art. 32 DSGVO). E-Mail-Versand von Gehaltsabrechnungen sollte verschlüßelt erfolgen.
Aufbewahrungspflichten: Lohnunterlagen müßen 6 Jahre (handelsrechtlich) bzw. 10 Jahre (steuerrechtlich) aufbewahrt werden. Dies ist eine Ausnahme vom Löschungsrecht (Art. 17 Abs. 3 lit. b DSGVO).
Externe Abrechnung: Wird die Gehaltsabrechnung an einen externen Dienstleister ausgelagert, liegt Auftragsverarbeitung nach Art. 28 DSGVO vor. Ein AVV ist zwingend erforderlich.