rating service  security service privacy service
 
Für Daten auf Gehaltszettel gilt Minimalprinzip
Gehaltszettel dürfen nur Informationen beinhalten, die mit der Gehaltsauszahlung in engem Zusammenhang stehen - Empfehlung K211.680/0009-DSK/2006 hat die Datenschutzkommission (seit 1. Jänner 2014 Datenschutzbehörde) wieder einmal die Problematik der Gehaltszettel behandelt

Während die bisherige Entscheidungspraxis der Datenschutzkommission (seit 1. Jänner 2014 Datenschutzbehörde) dabei vor allem die Fragen der Datensicherheit und des Umgangs mit dem Datengeheimnis betraf, liegt nun mit der gegenständlichen Empfehlung auch eine Entscheidung vor, welche personenbezogenen Inhalte ein Lohnzettel überhaupt haben darf und daher an Kreditinstitute im Zusammenhang mit der Lohnauszahlung übermittelt werden dürfen.


Ausgangslage

Anlässlich der Auszahlung von Bezügen ist es für die auszahlende Stelle verpflichtend, dem jeweiligen Betroffenen einen Lohnzettel zukommen zu lassen, der die wesentlichen Informationen zum ausbezahlten Bezug enthält.

Die Übermittlung von Lohnzetteln an Kreditinstitute kann dabei mehrere Gründe haben. Vor allem aber kann sie für die bezugsauszahlende Stelle administrative und finanzielle Vorteile mit sich bringen, da sie dabei die Ausstellung des jeweiligen Lohnzettels an einen Dienstleister auslagern kann. Von der Abwicklung her kann sich  die bezugsauszahlende Stelle dabei verschiedener Möglichkeiten bedienen: Einerseits kann sie die Lohnzettel selbst in Papierform drucken und an das Kreditinstitut übermitteln, welches dann letztendlich die Übergabe an den Empfänger übernimmt. Weiters besteht aber auch die Möglichkeit, die nötigen Daten an das Kreditinstitut im elektronischen Wege zu übermitteln, welches anhand dieser Informationen dann selbst die Ausstellung des Lohnzettels vornimmt.

Üblicherweise enthalten diese Angaben eine Reihe von personenbezogenen Informationen, welche weit über die Nennung des bloßen finanziellen Bezuges hinausgehen. Dazu zählen häufig etwa  Informationen über vorgenommene Abzüge des Arbeitgebers für Mitgliedsbeiträge bei Gewerkschaften oder Religionsgemeinschaften oder Angaben über die berufliche Tätigkeit des Beziehers.


Gesetzliche Rahmenbedingungen

Kein Zweifel herrscht darüber, dass es sich bei den Angaben auf Lohnzetteln um personenbezogene Daten des jeweiligen Bezugsempfänger handelt, welche diesem direkt zugeordnet werden können. Oftmals kann es sich dabei auch um sensible Daten handeln, welche einem besonderen Schutz unterliegen: Dazu zählen Angaben über die Mitgliedschaft in Gewerkschaften, religiösen Gemeinschaften aber auch gesundheitsbezogene Daten des Betroffenen, wie etwa die Befreiung von der Rezeptgebühr.

Sofern ein Kreditinstitut als Aussteller des Lohnzettels fungiert, für die eigentlich die jeweilige, bezugsauszahlende Stelle zuständig wäre, wird es dabei für diese als Dienstleister im Sinne des § 4 Z 5 DSG tätig. Somit ist einerseits bei der Datenübermittlung durch die bezugsauszahlende Stelle zu beachten, ob diese  nicht schon schutzwürdigen Geheimhaltungsinteressen des Betroffenen verletzen kann. Auf Seite des jeweiligen Kreditinstitutes sind vor allem die Maßnahmen der Datensicherheit sowie der Schutz des Datengeheimnisses einzuhalten.

Vorausgesetzt, dass der Betroffene keine persönliche Einwilligung zur Überlassung seiner Daten an das jeweilige Kreditinstitut gegeben hat, kommt insbesondere bei sensiblen Dateninhalten eine Überlassung nur aufgrund einer ausdrücklichen, gesetzlichen Regelung in Frage, welche wiederum dem Grundrecht auf Datenschutz entsprechen muss. Gerechtfertigt wird dabei die Datenüberlassung an den Dienstleister stets mit § 10 DSG, der ausdrücklich vorsieht, dass sich ein Auftraggeber bei der Wahrnehmung seiner Aufgaben eines Dienstleisters bedienen kann, sofern dieser die Gewähr für eine rechtsmäßige und sichere Datenverwendung bietet.

Die bisherige Entscheidungspraxis setzte daher auch bei der jeweiligen Handhabung der Datensicherheit und des Datengeheimnisses auf Seite des Kreditinstitutes an. (vgl. dazu etwa die Entscheidung K211.413/006-DSK/2002)


Neue Empfehlung geht auf Inhalt des Lohnzettels ein

Die jetzige Empfehlung der Datenschutzkommission fällt nun insoferne aus dem Rahmen der bisherigen Judikaturpraxis, als sie direkt bei den gesetzlichen Voraussetzungen, welche Inhalte ein Lohnzettel überhaupt haben darf, ansetzt.

Im zugrundeliegenden Fall gab die bezugsauszahlende Stelle, ein Sozialversicherungsträger, anlässlich der Bezugsauszahlung  personenbezogene Daten des Betroffenen an das Kreditinstitut weiter, welches diese dann auf dem Bankauszug des Betroffenen vermerken ließ. Dieser beinhaltete neben den Daten des Pensionsbezugs selbst dann auch die Angaben "Befreit von der Rezeptgebühr" sowie "Gilt als Pensionistenausweis".

Der Betroffene fühlte sich durch diese Vorgehensweise in seinem Grundrecht auf Datenschutz verletzt und veranlasste eine Überprüfung der Datenanwendung des Sozialversicherungsträgers durch die Datenschutzkommission. In einer Stellungnahme rechtfertigte sich der Sozialversicherungsträger damit, dass die getroffenen Angaben auf dem Gehaltszettel zur Inanspruchnahme von Fahrpreisermäßigungen sowie der Befreiung von der Rezeptgebühr auf Seite des Betroffenen notwendig seien.

In ihrer Empfehlung überprüfte die Datenschutzkommission die Inhalte des Lohnzettels in Bezug auf die gesetzlichen Voraussetzungen. Den Inhalt des Lohnzettels regelt § 78 Abs 5 Einkommenssteuergesetz, als Mindestinhalte des Lohnzettels sind dort Bruttobezüge, Beitragsgrundlage, Plichtbeiträge, Bemessungsgrundlage für die Lohnsteuer und Mitarbeitervorsorgekassen sowie die Lohnsteuer selbst enthalten.

Die Datenschutzkommission hält dazu nun fest, dass die entsprechende, gesetzliche Regelung zwar nur von Mindestangaben spricht, allerdings davon auszugehen ist, dass darüber hinausgehende Angaben zumindest mit der Lohnzahlung in engem Zusammenhang stehen müssen. Dies sei bei den getroffenen Angaben nicht der Fall, somit sei es unzulässig, diese auf dem Lohnzettel anzuführen. Die Argumente des Sozialversicherungsträgers wurden insoferne verworfen, als die DSK (seit 1. Jänner 2014 Datenschutzbehörde) der Auffassung war, ein Lohnzettel sei grundsätzlich aufgrund der Vielzahl an personenbezogenen Angaben sowie der hohen Fälschungsgefahr nicht geeignet, einen Nachweis für die Befreiung von der Rezeptgebühr bzw. zur Fahrpreisermäßigung zu bilden.

Somit lässt sich anhand der jetzigen Empfehlung folgende Judikaturlinie ausmachen: Auf einem Lohnzettel dürfen grundsätzlich nur Angaben angeführt werden, welche mit der Lohnauszahlung in engem Zusammenhang stehen. Diese Daten dürfen dann allerdings auch im Rahmen der Auszahlung des Bezuges an einen Dienstleister- etwa ein Kreditinstitut- weitergeleitet werden, sofern dieser die Grundsätze der Datensicherheit und des Datengeheimnisses entsprechend beachtet.


Kritik

Was aufs erste wie ein Meilenstein aussieht, wirft bei genauerer Betrachtung erhebliche Probleme auf. Grundsätzlich ist es zwar zu begrüßen, dass sich die DSK endlich mit dem Inhalt von Lohnzetteln auseinandersetzt, die gegenständliche Entscheidung lässt aber entscheidende Fragen offen. Zunächst ist festzuhalten, dass die DSK die Auffassung vertritt, dass ein Anführen von Daten auf einem Lohnzettel weiterhin unproblematisch ist, wenn "diese mit der Lohnzahlung in engem Zusammenhang stehen".

Wenn durch einen Arbeitgeber aber vorab Gehaltsabzüge, etwa für Mitgliedsbeiträge bei Gewerkschaften oder Religionsgemeinschaften getätigt werden, steht dies wohl in einem Zusammenhang mit der Lohnauszahlung. Nach Lesart der DSK wäre also eine Überlassung solcher sensibler Daten sowie das Anführen auf dem Lohnzettel des Betroffenen weiterhin zulässig.

Das eigentliche Problem ist aber viel grundsätzlicher: Die Datenschutzkommission stützt sich in ihrer Empfehlung auf eine Regelung, die eigentlich gar keine datenschutzrechtlichen Ziele verfolgt, sondern vielmehr ein Recht des Betroffenen normiert, durch die bezugsauszahlende Stelle umfassend über alle Umstände des Lohnbezugs informiert zu werden. Insoferne spricht die gesetzliche Reglung im Einkommenssteuergesetz auch nur von Mindestangaben und führt keinerlei Hinweise an, welche Angaben auf einem Lohnzettel nicht aufscheinen dürfen. Daraus ein Verbot abzuleiten, weitergehende Angaben anzuführen, ist zumindest juristisch gewagt.

Die Information des Betroffenen durch die bezugsauszahlende Stelle ist auch gar nicht das Problem, solange dabei kein Dritter- also ein Dienstleister in Form eines Kreditinstituts - zwischengeschaltet wird. Ob der Betroffene dann wirklich den Lohnzettel zur Inanspruchnahme der Fahrpreisermäßigung bzw. der Rezeptgebührbefreiung zugreift oder sich anderer Legitimationsmittel (zB Pensionistenausweis) bedienen möchte, bleibt dessen individueller Entscheidung überlassen. Solange der Kontakt nur zwischen Auftraggeber und Betroffenen besteht, entsprechende Daten nicht an das Kreditinstitut weitergeleitet werden und andere Legitimationsmittel existieren, die eine Inanspruchnahme zB der Rezeptgebührbefreiung ermöglichen, wirft eine solche Vorgehensweise keine datenschutzrechtlichen Probleme auf.

Das Problem besteht somit nicht darin, dass überhaupt Lohnzettel mit umfassenden Inhalten ausgestellt werden. Dies ist im Sinne des Informationsanspruchs des Betroffenen sogar zu begrüßen. Die Missbrauchsgefahren fangen erst dann an, wenn aus Kostengründen keine direkte Information des Beziehers erfolgt, sondern ein Kreditinstitut zwischengeschaltet wird.

Die DSK hätte somit gut damit getan, sich anstatt mit dem Einkommenssteuergesetz lieber damit auseinanderzusetzen, ob eine Überlassung von Daten an ein Kreditinstitut in der derzeit oft praktizierten Form nach § 10 DSG gerechtfertigt sein kann. Sofern man § 10 DSG verfassungs- und richtlinienkonform interpretieren möchte, wäre nämlich eine Datenüberlassung an ein Kreditinstitut bei sensiblen Daten ebensowenig gerechtfertigt wie bei Daten, welche in keinem zentralen Zusammenhang mit der Lohnauszahlung stehen.

Es ist daher zu hoffen, dass diese Entscheidung nur ein Anfang ist und sich die DSK in Hinkunft bei der Überprüfung von Sachverhalten auf ihren Kernbereich DSG konzentriert, um dessen Bestimmungen in Hinblick auf Verfassungs- und Europarecht auch konform auszulegen.

mehr --> Ist die Weitergabe von Gehaltsdaten an externe Stellen zulässig?
mehr --> Ist die Weitergabe von Gehaltsdaten an externe Stellen zulässig?
Archiv --> Gehaltsdaten II
Archiv --> Gehaltsdaten I
Archiv --> OeNB gab Gehaltsdaten weiter

- Personendaten - Dienstleister - DSR - datenschutz-seminar.at - Cloud Computing - datenschutz tag - hacking - hacker - Web 2.0 - datenschutz tagung - e-government - data protection - data safety - data protection law - Austria
Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster