Des Weiteren muss der Sendungsweg technisch aus Datenschutzsicht bewertet werden. Hierbei ist jedoch zu unterscheiden, ob die Versendung im firmeneigenen Netz erfolgt und der Zugriff nur den Berechtigten möglich ist oder ob die Versendung an die privaten E-Mail-Accounts der Beschäftigten bei Drittanbietern außerhalb der Sphäre des Arbeitgebers erfolgt. Die Anforderungen für Letzteres legt Art. 32 DSGVO fest. Da die Gehaltsabrechnung auch sensible Daten, wie die Religionszugehörigkeit für den Kirchensteuerabzug und die Sozialversicherungsnummer des Arbeitnehmers enthalten, muss hier besonders sichergestellt werden, dass nicht unbefugte Dritte Einsicht in diese Daten nehmen können. Schon hieraus folgt, dass die E-Mail verschlüsselt versandt werden muss. Dabei sollte eine end-to-end-Verschlüsselung vom Rechner des Versenders bis zum Rechner des Empfängers zum Einsatz kommen, um eine größtmögliche Integrität gewährleisten zu können. Eine Alternative zur Verschlüsselung gibt es auch aufgrund der sonst entstehenden Haftungsrisiken für den Arbeitgeber nicht. Darüber hinaus ist zu beachten, dass der Arbeitgeber von seinen Mitarbeitern keine E-Mail-Adresse zur Zusendung der Gehaltsabrechnung verlangen kann, da die Zurverfügungstellung einer privaten Mailadresse für die Gehaltsabrechnung nicht erforderlich ist, da auch eine analoge Zustellung möglich ist. Sofern der Arbeitgeber die Gehaltsabrechnung digital zustellen möchte, so obliegt es ihm, einen geeigneten und sicheren Zustellungsweg zu schaffen.
Sollten keine automatischen Verteiler beim E-Mail-Versand zum Einsatz kommen, muss darauf geachtet werden, dass bei einer manuellen Eingabe keine Fehler unterlaufen und die E-Mail eventuell bei einem anderen Empfänger ankommt. Dies lässt sich u. a. mit dem oben vorgeschlagenen Passwort-System vermeiden.
Maßnahmen für Arbeitgeber
- Arbeitgeber sollten private E-Mail-Postfächer einrichten, die auf Firmenservern gehostet werden. Die Gehaltsabrechnungen können dann an diese Mailadresse versandt werden. Die Postfächer sind mit einem Passwort zu schützen, das ausschließlich der jeweilige Mitarbeiter kennt.
- Die Gehaltsabrechnung sollte als PDF-Dokument verschickt und dem Stand der Technik entsprechend verschlüsselt werden.
- Bei der Verschlüsselung sollten individuelle Passwörter verwendet werden, die hinreichend komplex sind. Diese Passwörter sollten regelmäßig geändert und vor unbefugtem Zugriff durch Dritte geschützt werden. Hierüber sollten die Mitarbeiter schriftlich informiert und angewiesen werden.