-
- Anmelden
von Matthias Wallhäuser
Auch in Krankenhäusern werden Human Resources (HR)- Prozesse zunehmend an externe Dienstleister vergeben. Solche werden z. B. mit der Erstellung der Verdienstabrechnungen und Lohnbuchhaltung beauftragt. Die damit einhergehenden Prozesse werden nicht selten im gleichen Zuge digitalisiert, d. h. die Kommunikation mit den Beschäftigten – einschließlich der Übermittlung der Verdienstabrechnung und der Sozialversicherungsnachweise – erfolgt papierlos über eine digitale Plattform. Hierbei stellen sich einige rechtliche Fragen, die mitunter auch von Beschäftigten geäußert werden. Es lohnt daher der Blick auf die rechtskonforme Gestaltung des Outsourcings von HR-Prozessen.
Im Rahmen dieses Kurzbeitrages kann dabei allerdings nicht auf alle rechtlichen Fragestellungen eingegangen werden. Die nachstehende Auswahl angesprochener Rechtsthemen ist also nicht abschließend, sondern soll vor allen Dingen die Entscheidungs- und Verantwortungsträger im Krankenhaus dafür sensibilisieren, dass der oftmals aus finanziellen Erwägungen angestoßene Outsourcing-Prozess durchaus wichtige rechtliche Implikationen hat.
In datenschutzrechtlicher Hinsicht handelt es sich bei dem oben genannten Beispiel des Outsourcings etwa der Lohnbuchhaltung und -abrechnung um einen typischen Fall der Auftragsverarbeitung (Art. 28 Datenschutz-Grundverordnung – DS-GVO). Die Auftragsverarbeitung ist dadurch gekennzeichnet, dass ein externer Dienstleister als verlängerter Arm des Auftraggebers die Datenverarbeitung vornimmt und hierbei streng nach dessen Weisungen, ohne eigene Entscheidungsbefugnis, agiert. Der Auftraggeber bleibt hinsichtlich der Daten und deren Verarbeitung verantwortliche Stelle und muss für die Rechtmäßigkeit der Datenverarbeitung sorgen bzw. steht bei einer rechtswidrigen Datenverarbeitung gegenüber den Betroffenen in der Verantwortung.
Datenschutzrechtlich werden Auftraggeber und Auftragsverarbeiter als Einheit angesehen, so dass die wechselseitige Weitergabe personenbezogener Daten zwischen diesen beiden als datenschutzrechtlich irrelevant einzustufen ist.
Da der Auftragsverarbeiter also nicht als Dritter (Art. 4 Nr. 10 DS-GVO), sondern „als verlängerter Arm“ des Verantwortlichen angesehen wird (Privilegierung), bedarf es auch keiner Einwilligung des Beschäftigten in die Auftragsverarbeitung, ebenso wenig einer Betriebsvereinbarung.
Grundlage der Auftragsverarbeitung und nach Art. 28 Abs. 9 DS-GVO vorausgesetzt ist ein schriftlicher Vertrag. Der Auftragsverarbeiter sollte im Vertrag auch zur Verschwiegenheit hinsichtlich der ihm überlassenen Daten verpflichtet werden. Die vom Auftragsverarbeiter getroffenen Maßnahmen zur Gewährleistung der Datensicherheit gem. Art. 32 Abs. 1 DS-GVO sollten verbindlich festgelegt und Vertragsbestandteil sein (Art. 28 Abs. 3c DS-GVO). Die Einschaltung von Subauftragsverarbeitern sollte schriftliche geregelt und von der Zustimmung des Auftraggebers abhängig gemacht werden (Art. 28 Abs. 2 DS-GVO).
Betriebsverfassungsrechtlich ist die Auslagerung der Lohnabrechnung und ihr Umfang in Unternehmen mit Betriebsrat allerdings informations- bzw. zustimmungspflichtig (§ 87 Abs.1 S. 1 und S. 6, § 90 Betriebsverfassungsgesetz – BetrVG). Auch Erstellung und Versand von Lohndaten über ein externes Online-Tool ist Unternehmen erlaubt. Für Unternehmen besteht keine Pflicht, Mitarbeitern ihre Gehaltsabrechnungen per Post zu senden. Ein Arbeitnehmer hat jedoch ein Recht auf Erhalt seiner Abrechnung in Textform (§ 108 Gewerbeordnung – GewO). Und: Dieser Text muss sich auf einem dauerhaften Datenträger befinden.
Dies ist – mit Blick auf die rechtlichen Datenschutzregelungen – auch in digitaler Form möglich, etwa als druckfähiger, passwortgeschützter PDF-Anhang einer E-Mail oder über sichere, datenschutzkonforme Online-Server. Einer Zustimmung des Beschäftigten bedarf dies nicht, auch hat er kein Widerspruchsrecht.
DS-GVO und Bundesdatenschutzgesetz (BDSG) regeln auch hier recht eindeutig: Bei der digitalen Übertragung personenbezogener Daten oder ihrer Speicherung auf Datenträgern sind die Angaben vor unbefugten Dritten zu schützen. Lesen, bearbeiten, kopieren oder löschen – all das ist Unberechtigten verboten. Dies sollte also ebenfalls Gegenstand des Auftragsverarbeitungsvertrages sein.
Es gilt § 1 der Entgeltbescheinigungsverordnung. Die Abrechnung muss mindestens folgende Angaben zu den beiden Parteien und über den Abrechnungszeitraum enthalten:
Hinsichtlich der Zusammensetzung des Lohns sind insbesondere Angaben über Art und Höhe der Zuschläge, Zulagen, sonstige Vergütungen, Art und Höhe der Abzüge, Abschlagszahlungen sowie Vorschüsse erforderlich:
Vorsicht beim Outsourcing der Lohnbuchhaltung an Steuerberater: Der Gesetzgeber hat mit der Neuregelung des § 11 Steuerberatungsgesetz (StBerG) Klarheit geschaffen. § 11 Abs. 2 S. 1 StBerG besagt nunmehr, dass Handlungen nach § 3 StBerG weisungsfrei vorgenommen werden. Nach § 11 Abs. 2 S. 2 StBerG sind die Handelnden dabei Verantwortliche im Sinne der DS-GVO. § 3 StBerG thematisiert die geschäftsmäßigen Hilfeleistungen in Steuersachen, d. h. das gesamte Spektrum an Tätigkeiten eines Steuerberaters. Über § 5 StBerG sind auch die in § 6 Abs. 4 StBerG genannten Hilfstätigkeiten erfasst.
Damit steht insgesamt fest, dass das Tätigwerden eines Steuerberaters für einen Mandaten keiner Auftragsverarbeitung bedarf, sofern der Steuerberater die im StBerG vorgesehenen Aufgaben erfüllt. Er handelt immer weisungsfrei.
Der Grund für die Regelung ist laut Gesetzesbegründung, dass ein Steuerberater auch bei den in § 6 Abs. 4 StBerG genannten Hilfstätigkeiten steuerrechtliche Prüfungen vornimmt, dabei seinen Berufspflichten unterliegt und deswegen eigenständig und weisungsfrei arbeitet. § 11 Abs. 2 S. 3 StBerG bestimmt schließlich, dass auch besonders sensible Daten im Sinne des Art. 9 DS-GVO, wie zum Beispiel Gesundheitsdaten, für die Erfüllung der Aufgaben verarbeitet werden dürfen. Dabei handelt es sich ebenfalls um eine Klarstellung. Die Weisungsfreiheit des Steuerberaters hat zur Folge, dass dieser nicht Auftragsverarbeiter sein kann. Damit entfällt aber auch die oben beschriebene Privilegierung und es bedarf für die Überlassung von personenbezogenen Daten an den Steuerberater eines Erlaubnistatbestandes nach Art. 6 DS-GVO, der bei dem hier besprochenen Beispiel des Outsourcings der Lohnbuchhaltung und -abrechnung nur im Einverständnis des betreffenden Mitarbeiters liegen kann.
Beim Outsourcing von HR-Prozessen wie der Lohnbuchhaltung und -abrechnung sind zwar einige Besonderheiten zu beachten, es ist aber rechtlich gestaltbar. Die Beauftragung von Steuerberatern sollte allerdings überdacht werden, da für diese nicht die datenschutzrechtliche Privilegierung der Auftragsverarbeitung gilt.
Rechtsanwalt Matthias Wallhäuser
PPP Rechtsanwälte Partnerschaftsgesellschaft mbB
Bensberger Straße 72
51465 Bergisch Gladbach