In der letzten Folge der Expertentalk-Reihe mit FH-Prof. Mag. Dr. Peter Burgstaller werden Fragen aufgegriffen, die zu keinem der vorangegangenen Überbegriffen passten, aber nun noch offen stehen. Im Video können Sie die Antworten im Wortlaut hören. Hier haben wir die Antworten nochmal für Sie schriftlich zusammengefasst.

Hausverwaltungen und Steuerberatungskanzleien versenden regelmäßig E-Mails mit Anhängen, die durch einen Code entschlüsselt werden müssen. Dieser muss dann anschließend telefonisch in Erfahrung gebracht werden, was den Vorgang relativ kompliziert macht. Braucht es diese Maßnahmen?

Peter Burgstaller meint, dass solche Kodierungen grundsätzlich ein guter Weg sind, die Daten vor ungewollter Einsicht zu schützen, da es sich um eine Authentifizierungsmaßnahme handelt. Man bekommt ein verschlüsseltes Dokument und durch einen zweiten, unabhängigen Schritt bekommt man den Code, der Einblick in das Dokument gewährt. Vor allem bei Nachrichten, in deren Anhang wirklich sensible Daten zu finden sind, wird dies verwendet.

Sollte es sich bei der Nachricht nur um eine normale Mail handeln, kann man von dieser Art der Verschlüsselung absehen. Sollten sich im Anhang sensible Daten befinden, ist auf auf solche Arten der Verschlüsselung zurückgreifen. In der Praxis kommunizieren mittlerweile ohnedies die meisten Rechner verschlüsselt bspw über TLS; die Verschlüsselung endet aber am Empfänger-Mail-Server, sodass hausintern keine Verschlüsselung vorliegt; hier sind geeignete Maßnahmen zu ergreifen, um Unberechtigten das Kenntniserlangen der Information zu verunmöglichen.

Was ist bei der Lohnverrechnung und Personalverwaltung in Hinblick auf Datenschutz zu beachten?

Zu beachten gilt, dass der externe Lohnverrechner ein Auftragsverarbeiter ist und somit die Datenschutzgrundsätze schriftlich mit dem Auftragsverarbeiter zu fixieren sind. Dies ist in Art. 28 der Datenschutzgrundverordnung geregelt. Wichtig ist, dass der Lohnverrechner – wie jeder andere Auftragsverarbeiter auch – nur das tut, wofür er beauftragt wurde. Sollten Auftragsverarbeiter mit den ihnen anvertrauten Daten andere Dinge tun als vereinbart, wird es für alle Beteiligten heikel, besonders natürlich für den Verarbeiter, der dadurch den Vertrag bricht, aber auch für den Verantwortlichen, weil dieser gegenüber Dritten (=die Betroffenen) „verantwortlich“ ist.

Abschließend lässt sich festhalten, dass man als Lohnverrechner den Auftrag des Auftraggebers strikt einhalten muss. Dafür darf er auch alle Daten verwenden, die man dafür braucht. Es ist hier auch nicht erforderlich, die Zustimmung der Mitarbeiter einzuholen – all diese Gesichtspunkte sollten nach Art. 28 DSGVO durch einen Auftragsverarbeitervertrag geregelt und somit rechtlich abgesichert sein.