Datenschutzrechtliche Sicherheitsmaßnahmen bei der elektronischen Übermittlung der Lohnsteuerbescheinigungen

Was ist ein Brand Voice ?
SicherheitVerschlüsselung

Beschäftigt ein Arbeitgeber lohnsteuerpflichtige Arbeitnehmer, trifft ihn am Jahresende eine besondere Pflicht: Er muss die Lohnsteuerbescheinigungen seiner Mitarbeiter an das Finanzamt übermitteln.

Bei der elektronischen Übermittlung sind die datenschutzrechtlichen Bestimmungen der Europäischen Datenschutzgrundverordnung zu beachten. Aus diesem Grund muss der Arbeitgeber Vorkehrungen für verschiedene Sicherheitsmaßnahmen treffen und bei der elektronischen Übermittlung der Lohnsteuerbescheinigungen bestimmte Verschlüsselungstechniken einsetzen.

Was verbirgt sich hinter einer Lohnsteuerbescheinigung?

Die Lohnsteuerbescheinigung ist ein schriftlicher Beleg, den das Finanzamt für die Festsetzung der Steuer benötigt. Zu diesem Zweck obliegt es dem Arbeitnehmer, die Lohnsteuerbescheinigung eines Jahres mit der Dezember-Abrechnung an das zuständige Finanzamt zu übersenden. Die gesetzliche Vorlage für die elektronische Übermittlung der Jahreslohnsteuerbescheinigung liefert § 41b EStG (Einkommensteuergesetz).

Auf der Lohnsteuerbescheinigung werden die wichtigsten personenbezogenen Daten des Arbeitnehmers vermerkt. So enthält das Dokument z. B. die Adresse, den Geburtstag und alle Informationen, die für den Steuerabzug relevant sind. Damit diese personenbezogenen Daten geschützt bleiben, müssen bei der elektronischen Übermittlung die datenschutzrechtlichen Vorschriften der Europäischen Datenschutzgrundverordnung (DSGVO) beachtet werden. Um diese Verpflichtung zu erfüllen, können verschiedene Verschlüsselungstechniken eingesetzt werden.

Welche Arten der Verschlüsselung sind bei der elektronischen Übermittlung der Lohnsteuerbescheinigung zu beachten?

Für die elektronische Übermittlung der Lohnsteuerbescheinigungen an das Finanzamt kommen die drei folgenden Verschlüsselungstechniken in Betracht:

  • Symmetrische Verschlüsselung
  • Asymmetrische Verschlüsselung
  • Hybride Verschlüsselung

Symmetrische Verschlüsselung

Die symmetrische Verschlüsselung ist auch als Single-Key-Verfahren bekannt. Diese Verschlüsselungstechnik kann sowohl von dem Absender als auch dem Empfänger der Daten eingesetzt werden. Für die Verschlüsselung und die Entschlüsselung der Daten, die auf einer Lohnsteuerbescheinigung zwingend angegeben werden müssen, benötigen der Arbeitgeber und das Finanzamt jeweils nur einen Schlüssel. Mithilfe dieses Schlüssels ist es möglich, die codierte Nachricht zu lesen. Diese Art der Verschlüsselung stellt sich wegen der hohen Geschwindigkeit – sowohl bei der Verschlüsselung als auch bei der Entschlüsselung – als sehr vorteilhaft dar.

Asymmetrische Verschlüsselung

Bei der asymmetrischen Verschlüsselung – Public-Key-Verfahren – benötigen der Absender und der Empfänger jeweils einen eigenen Schlüssel. Der Arbeitgeber setzt den Schlüssel bei der Codierung der Daten ein. Die Daten können nur mit dem zugehörigen Zweitschlüssel wieder entschlüsselt werden. Deshalb ist es wichtig, dass nur das Finanzamt – als empfangende Stelle – im Besitz dieses Schlüssels ist. Dem Arbeitgeber wird hiermit eine Sorgfaltspflicht auferlegt. Er muss darauf achten, dass keine unberechtigte Person – auch nicht die unternehmensinterne Lohnabteilung – diesen Schlüssel erhält. Auf diese Weise wird gewährleistet, dass die sensiblen Daten der Beschäftigten nicht in falsche Hände geraten.

Hybride Verschlüsselung

Bei der hybriden Verschlüsselung handelt es sich um eine Verschlüsselungstechnik, die sowohl Elemente aus dem Single-Key-Verfahren als auch aus dem Public-Key-Verfahren enthält. Gegenüber der asymmetrischen Verschlüsselung ist mit dieser Alternative der Vorteil verbunden, dass ein Unternehmen weniger Zeit aufwenden muss. Hierbei wählt der Absender nach dem Zufälligkeitsmodus einen symmetrischen Schlüssel aus, um die personenbezogenen Daten seiner Beschäftigten vor dem Versenden datenschutzkonform zu verschlüsseln. Bei dem Finanzamt wird für die Entschlüsselung der Daten das Public-Key-Verfahren angewendet.

Lohnsteuerbescheinigung elektronisch übermitteln: Welche Maßnahmen muss ein Unternehmen hinsichtlich des Datenschutzes treffen?

Viele Unternehmen entscheiden sich dazu, die Lohn- und Gehaltsabrechnung in ihrem Haus durchzuführen. Bei der elektronischen Übermittlung von personenbezogenen Daten gilt es, alle erforderlichen Maßnahmen zu treffen, die den Schutz der sensiblen Daten sicherstellen.

Zu diesen Maßnahmen gehört die Verwendung von Passwörtern, mit denen im Idealfall jeder Computer in dem Unternehmen geschützt ist. Außerdem sollte darauf geachtet werden, dass die zuständigen Mitarbeiter von allen Daten ein Backup erstellen und jeden Schritt in einem Datenverarbeitungsprotokoll dokumentieren.

Wird die Lohn- und Gehaltsabrechnung von einem externen Dienstleister (z. B. einem Steuer- oder Lohnbüro) durchgeführt, müssen für die elektronische Übermittlung der Lohnsteuerbescheinigung dieselben datenschutzrechtlichen Maßnahmen auf den Weg gebracht werden.

Wie wird eine elektronische Lohnsteuerbescheinigung korrekt übermittelt?

Zu den letzten Schritten, die im Rahmen der Dezemberabrechnung von einer unternehmensinternen Lohnabteilung übernommen werden, gehört die elektronische Übermittlung der Lohnsteuerbescheinigung an das Finanzamt. Hierbei geht ein zuständiger Mitarbeiter wie folgt vor:

  • Er wählt in dem Lohnsteuerprogramm den Punkt „Extras“ aus.
  • Der Mitarbeiter klickt auf „ELSTER“ und steuert die „Elektronische Lohnsteuerbescheinigung“ an.
  • Sobald er den Button „Versenden“ anklickt, kann der Mitarbeiter der Lohnabteilung alle Lohnsteuerbescheinigungen der lohnsteuerpflichtigen Arbeitnehmer an das Finanzamt versenden.

Eine Kopie der elektronisch übermittelten Lohnsteuerbescheinigung händigt der Arbeitgeber an den Arbeitnehmer aus. Auch hierbei ist darauf zu achten, dass die Daten nicht in falsche Hände geraten.

Ausnahme von der elektronischen Übermittlung der Lohnsteuerbescheinigung

Eine Ausnahme von der elektronischen Übermittlung der Lohnsteuerbescheinigung besteht für die Arbeitnehmer, die im Rahmen eines geringfügigen Beschäftigungsverhältnisses – Minijob – in einem Privathaushalt beschäftigt werden. Hier reicht es aus, wenn der Arbeitgeber dem betreffenden Mitarbeiter die Lohnsteuerbescheinigung manuell zustellt.

Fazit

Jeder Arbeitgeber trägt am Ende des Jahres dafür Sorge, dass die Lohnsteuerbescheinigung elektronisch an das Finanzamt übermittelt wird. Weil das Dokument alle steuerrelevanten Informationen enthält, müssen bei der elektronischen Übermittlung die Vorschriften der Europäischen Datenschutzgrundverordnung (DSGVO) beachtet werden.

Für eine datenschutzrechtskonforme Übermittlung können die Daten auf drei verschiedenen Wegen an das Finanzamt übermittelt werden. Neben dem Single-Key-Verfahren kann ein Arbeitgeber sich zwischen dem Pay-Key-Verfahren und dem hybriden Verfahren entscheiden. Überdies ist es aber auch wichtig, weitere datenschutzkonforme Maßnahmen zu treffen. Diese sehen z. B. vor, dass alle Computer mit einem Passwort geschützt werden.