Payroll Security: So machen Sie Ihre Lohn- und Gehaltsabrechnung sicherer

Wie findet man den besten Payroll-Anbieter? Was sind die neuesten Payroll-Trends? Ist es besser, die Lohn- und Gehaltsabrechnung selbst durchzuführen oder sie auszulagern? Dies sind vermutlich die häufigsten Fragen, die sich Unternehmen stellen, wenn es um die Gehaltsabrechnung geht. Doch in all dem Wirbel um die Suche nach einer geeigneten Payroll-Lösung wird ein entscheidender Aspekt häufig übersehen. 

In der heutigen Zeit, in der Datenschutzverletzungen an der Tagesordnung sind, sollte die Sicherheit der Lohn- und Gehaltsabrechnung neben der pünktlichen Bezahlung der Mitarbeiter zu den obersten Prioritäten für Unternehmen jeder Größe gehören. Unternehmen haben eine Verantwortung gegenüber ihren Mitarbeitern, sensible Daten sicher aufzubewahren. Da die Datenschutzbestimmungen immer strenger werden und die damit einhergehenden Geldstrafen immer höher ausfallen, riskieren Unternehmen erhebliche Strafen, wenn sie ihre Lohn- und Gehaltsabrechnungsdaten nicht angemessen schützen. 

In diesem Blog-Artikel geben wir Ihnen einen tiefen Einblick in das Thema Payroll Security. Wir erklären, warum ein starker Schutz für Gehaltsabrechnungssysteme und -daten ein Muss ist, welche Risiken fehlende Sicherheitsmaßnahmen mit sich bringen, und was Unternehmen tun können, um die Sicherheit von Gehaltsabrechnungsprozessen und -systemen zu verbessern. 

Bei der Lohn- und Gehaltsabrechnung werden große Mengen von Mitarbeiterdaten verarbeitet, von Namen über Sozialversicherungsnummern bis hin zu Gehaltsinformationen. Da es sich bei Payroll-Daten um hochsensible Daten handelt, sind Unternehmen ihren Mitarbeitern gegenüber verpflichtet, ihre Daten angemessen zu schützen. 

Es gibt zwei Hauptgründe, warum der Schutz von Mitarbeiterdaten für Unternehmen jeder Größe oberste Priorität haben sollte:

• Gesetzliche Verpflichtung im Rahmen von Datenschutzbestimmungen wie der DSGVO

• Zunehmendes Risiko von Datenverletzungen durch Cyberangriffe

Die DSGVO ist weltweit das umfangreichste und strengste Regelwerk zum Datenschutz - auch wenn es nicht das einzige derzeit geltende Datenschutzgesetz ist (man denke an die LGPD in Brasilien, um nur ein weiteres Beispiel zu nennen) - und betrifft jedes Unternehmen, das in der EU geschäftlich tätig ist oder mit personenbezogenen Daten von Kunden, Mitarbeitern oder anderen dort ansässigen Personen umgeht. Unternehmen, die sich nicht an die Vorschriften der DSGVO halten, riskieren hohe Geldstrafen - mehr dazu im nächsten Abschnitt.

Die zunehmende Notwendigkeit, die Sicherheitsstandards in der Lohn- und Gehaltsabrechnung zu erhöhen, ist jedoch nicht nur auf die Verpflichtung zur Einhaltung von Datenschutzgesetzen zurückzuführen. Die Notwendigkeit, im Bereich Payroll Security nachzubessern, hängt vielmehr damit zusammen, dass Datenschutzverletzungen durch Cyberangriffe im digitalen Zeitalter immer häufiger werden.

So wurden für das Jahr 2021 im Vereinigten Königreich beispielsweise 1.243 Sicherheitsvorfälle gemeldet (gegenüber 1.120 im Jahr 2020), bei denen es zu Datenschutzverletzungen an über 5,1 Milliarden Datensätzen kam. Und in den USA stieg die Zahl der Datenschutzverletzungen laut dem Identity Theft Research Center (ITRC) zwischen 2020 und 2021 um ganze 68% an. 

Zwar könnte man argumentieren, dass es sich hierbei nicht nur um Payroll-Datenschutzverletzungen handelt, doch muss man nicht lange suchen, um prominente Fälle von Datenschutzverletzungen zu finden, bei denen sensible Mitarbeiterdaten aus der Lohn- und Gehaltsabrechnung offengelegt beziehungsweise gestohlen wurden.

Das bekannteste Beispiel ist wohl der Ransomware-Angriff auf den US-Gehaltsabrechnungs- und Personalverwaltungsriesen Kronos im Dezember 2021, in dessen Zuge nicht nur die Gehaltsabrechnungssysteme des Konzerns auf Eis gelegt und die Gehaltsabrechnungsdaten Tausender Mitarbeiter abgegriffen wurden, sondern in dessen Folge mehrere Kronos-Kunden weitere Datenschutzangriffe erlitten. 

Es gibt drei verschiedene Arten von Risiken, denen sich Unternehmen aussetzen, wenn sie die Sicherheit ihrer Gehaltsabrechnung nicht gewährleisten: 

• Bußgelder und Strafen für die Nichteinhaltung von Datenschutz- und Sicherheitsvorschriften wie der DSGVO

• Datenschutzangriffe durch Dritte

• Betrug bei der Gehaltsabrechnung durch Mitarbeiter

Die Bußgelder im Zusammenhang mit der DSGVO variieren je nach Schwere des Verstoßes, wobei schwere Verstöße mit Bußgeldern in Höhe von bis zu 4% des weltweiten Umsatzes des Unternehmens oder 20 Millionen Euro geahndet werden können - je nachdem, welcher Betrag höher ist. Der Rekord für die höchste DSGVO-Strafe wurde in einem Verfahren gegen Amazon aufgestellt. Im Juli 2021 wurde dem Tech-Giganten eine Strafe in Höhe von 746 Millionen Euro auferlegt.

Datenschutzverletzungen infolge von Cyberangriffen können für Unternehmen ebenfalls hohe Kosten verursachen. Laut dem 2022 Cost of a Data Breach Report von IBM und dem Ponemon Institute belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung im Jahr 2022 auf 4,35 Millionen US-Dollar.

Während die Kosten für Datenschutzverletzungen durch externe Angreifer Unternehmen ohne Weiteres ruinieren können, sollte man nicht vergessen, dass das größte Sicherheitsrisiko in der Lohn- und Gehaltsabrechnung oft von den eigenen Mitarbeitern ausgeht. Interne Datenschutzverletzungen müssen nicht immer vorsätzlich begangen werden, aber wenn dies der Fall ist (z. B. bei der Manipulation der Vergütungssätze oder Arbeitsstunden), können sie erhebliche finanzielle Verluste für das Unternehmen bedeuten. 

So sah sich beispielsweise die britische Supermarktkette Morrisons mit Entschädigungsforderungen von mehr als 5.000 Mitarbeitern konfrontiert, nachdem ein verärgerter Mitarbeiter vertrauliche Lohn- und Gehaltsdaten weitergegeben hatte. In einem Berufungsverfahren wurde Morrisons letztlich als nicht schuldig an dem Vorfall erklärt; andernfalls wären die finanziellen Folgen gravierend gewesen.

In Anbetracht der schwerwiegenden finanziellen Konsequenzen von Datenpannen liegt es im Interesse jedes Unternehmens, die Sicherheitsmaßnahmen in der Lohn- und Gehaltsabrechnung zu verstärken. Im Folgenden finden Sie 12 Tipps, wie Sie die Payroll Security in Ihrem Unternehmen verbessern können. 

1. Halten Sie Ihre Payroll-Software auf dem neuesten Stand

Gehaltsabrechnungssoftware verfügt in der Regel über verschiedene Sicherheitsfunktionen. Ohne regelmäßige Updates sind Systeme jedoch schnell veraltet, wodurch Sie anfälliger für neue Sicherheitsbedrohungen und Cyberangriffe werden. Um Ihre Gehaltsabrechnungsdaten zu schützen, sollten Sie in regelmäßigen Abständen nach Updates suchen und diese installieren, sobald sie verfügbar sind. 

Wenn Sie Ihre Gehaltsabrechnung auslagern, erkundigen Sie sich bei Ihrem Anbieter, wie oft er seine Systeme aktualisiert. Idealerweise entscheiden Sie sich für eine cloudbasierte SaaS-Payroll-Lösung wie Lano, die immer auf dem neuesten Stand ist - und nicht für eine Software, die Sie selbst hosten, installieren und manuell aktualisieren müssen. 

2. Folgen Sie empfohlenen Sicherheitsstandards 

Es gibt mehrere technische und betriebliche Maßnahmen, die empfohlen werden, um die Sicherheit der Gehaltsabrechnungsdaten und die Einhaltung der DSGVO zu gewährleisten. Zusätzlich zu grundlegenden Sicherheitsmaßnahmen wie Firewalls und starkem Passwortschutz sollten Unternehmen, die die Sicherheit ihrer Payroll-Prozesse und -Systeme stärken wollen, Folgendes in Betracht ziehen:

• ISO 27001-Zertifizierung: internationaler ISMS-Standard (Informationssicherheitsmanagementsystem) für das IT-Risikomanagement eines Unternehmens

• Cloud-Infrastruktur: sicherer als der Austausch von Daten per E-Mail und die Speicherung auf lokalen Festplatten

• Datenverschlüsselung: Gehaltsabrechnungsdaten und alle mit der Gehaltsabrechnung zusammenhängenden Dokumente sollten verschlüsselt werden, sodass sie im Falle eines Diebstahls vertraulich bleiben

3. Schulen Sie Ihre Mitarbeiter

Investitionen in die Sicherheit von Gehaltsabrechnungssystemen und Servern sind wertlos, wenn sich Ihre Mitarbeiter nicht über die bestehenden Gefahren und Risiken im Klaren sind. Menschliches Versagen ist nach wie vor ein großes Sicherheitsrisiko in der Lohn- und Gehaltsabrechnung. Daher ist es wichtig, Mitarbeiter gründlich im Umgang mit den Systemen zu schulen. Wenn Mitarbeiter mit den Sicherheitsfunktionen des Systems vertraut sind, sind unbeabsichtigte Datenschutzverstöße weniger wahrscheinlich. 

Ebenso wichtig ist es, Mitarbeiter für Gefahren wie Phishing-E-Mails und andere Betrugsmaschen, die auf die Weitergabe vertraulicher Gehaltsabrechnungsdaten abzielen, zu sensibilisieren. Payroll Security sollte folglich ein integraler Bestandteil Ihrer Cybersicherheitsprotokolle sein.  

4. Geben Sie nur wenigen Personen Zugriff auf das System

Datenschutzangriffe müssen nicht zwangsläufig von außerhalb des Unternehmens kommen. So kann es auch passieren, dass Mitarbeiter versuchen, dem Unternehmen zu schaden, indem sie sensible Daten weitergeben. Je weniger Personen Zugang zu Ihrem Gehaltsabrechnungssystem und den dort gespeicherten Daten haben, desto geringer ist das Risiko interner Angriffe auf den Datenschutz und Manipulationen. Nur die wichtigsten Stakeholder und die Mitarbeiter Ihrer Payroll-Abteilung sollten Zugriff auf Ihre Lohn- und Gehaltsabrechnung haben.

5. Berücksichtigen Sie Payroll Security beim Onboarding und Offboarding 

Daneben können interne Sicherheitsrisiken durch einen ordentlichen Onboarding- und Offboarding-Prozess gemindert werden. Neue Mitarbeiter sollten gründlich auf ihre Vertrauenswürdigkeit hin überprüft werden, bevor sie Zugang zu Systemen und Prozessen erhalten. Ebenso sollten die Logins und Anmeldedaten von Mitarbeitern, die das Unternehmen verlassen, sofort am letzten Arbeitstag geändert werden, um unbefugten Zugriff zu verhindern.  

6. Überwachen Sie Zugriffsprotokolle und verdächtige Aktivitäten

Egal, welches System Sie für das Durchführen Ihrer Lohn- und Gehaltsabrechnung verwenden, es sollte aufzeichnen, wer wann auf welche Daten zugreift und warum. Diese Zugriffsprotokolle sollten regelmäßig auf verdächtige Aktivitäten hin überprüft werden. Wenn etwas verdächtig erscheint (z. B. unbefugter Zugriff), sollte der Vorfall untersucht und, falls erforderlich, die Sicherheit erhöht werden, um unbefugten Zugriff in Zukunft zu verhindern. 

7. Setzen Sei bei der Gehaltsabrechnung auf Aufgabenteilung 

Als zusätzliche Sicherheitsvorkehrung sollten Sie die Aufgaben Ihrer Payroll-Abteilung so aufteilen, dass nicht eine einzige Person für den gesamten Gehaltsabrechnungsprozess zuständig ist, sondern dass die Arbeit jedes Einzelnen von einer anderen Person überprüft und kontrolliert wird. Betrachten Sie dies als einen internen Kontroll- und Präventionsmechanismus. Wenn Mitarbeiter wissen, dass ihre Handlungen nicht unbemerkt bleiben, ist die Wahrscheinlichkeit geringer, dass sie versuchen, Stundenzettel oder Lohnsätze zu manipulieren. 

8. Erstellen Sie strenge Protokolle für Datenzugriffsanfragen 

Datenzugriffsanfragen kommen häufiger vor, als man meinen würde. Da ein externer Datenzugriff mit Datenschutzrisiken einhergeht, sollten Unternehmen klare Protokolle haben, wie mit solchen Anfragen umzugehen ist. Sie könnten zum Beispiel festlegen, dass alle Anfragen schriftlich gestellt werden müssen. 

9. Entsorgen Sie alte Daten ordnungsgemäß

Bewahren Sie Daten nur so lange auf, wie es gesetzlich vorgeschrieben ist. Weniger Daten und weniger Dokumente bedeuten ein geringeres Risiko für eine Datenpanne. Sobald die Aufbewahrungsfrist abgelaufen ist, sollten Sie nicht mehr benötigte Dokumente und Daten entsorgen - achten Sie darauf, dass Sie die Dateien ordnungsgemäß löschen, damit sie nicht wiederhergestellt werden können.

10. Analysieren Sie den gesamten Payroll-Prozess, um potenzielle Risiken zu entdecken

Die Datensicherheit in der Gehaltsabrechnung erstreckt sich nicht nur auf die Sicherheit von Daten, die irgendwo in der Cloud gespeichert sind, sondern auch auf die Datenverarbeitung und den Datenaustausch zwischen integrierten Systemen. Insbesondere für Unternehmen mit einer Global Payroll, an denen mehrere externe Dienstleister und Systeme beteiligt sind, ist die Analyse der verschiedenen Datenströme und Datenzugriffspunkte von entscheidender Bedeutung, um potenzielle Sicherheitslücken zu erkennen. Mögliche Fragen, die Sie im Zuge dieses Prozesses stellen können, sind:

• Wie werden die Daten zwischen den Systemen übertragen? 

• Sind alle Umgebungen und Systeme, in denen Daten gespeichert sind, sicher? 

• Ist es möglich, den Datenzugriff über das gesamte System hinweg zu verfolgen?

11. Entwickeln Sie einen Reaktionsplan für Datenschutzverletzungen

Trotz strenger Sicherheitsmaßnahmen kann es zu Datenschutzverletzungen kommen. Und wenn es zu einer Datenpanne kommt, ist es wichtig, schnell und entschlossen zu handeln. Anstatt zu hoffen, dass Ihr Unternehmen nie mit einer Datenpanne konfrontiert wird, sollten Sie sich lieber auf das Schlimmste vorbereiten und eine klare Strategie entwickeln, damit jeder weiß, was im Ernstfall zu tun ist.

12. Lagern Sie Ihre Gehaltsabrechnung an einen vertrauenswürdigen Payroll-Anbieter aus

Geeignete Maßnahmen zu ergreifen, um die Sicherheit der Lohn- und Gehaltsabrechnung zu gewährleisten, kostet viel Zeit. Viele Unternehmen finden es daher einfacher, ihre Lohn- und Gehaltsabrechnung an einen externen Dienstleister auszulagern. Payroll Outsourcing ermöglicht es Unternehmen, sich auf ihr Kerngeschäft zu konzentrieren, in der Gewissheit, dass ihre Lohn- und Gehaltsdaten in guten Händen sind. Achten Sie aber darauf, den richtigen Payroll-Anbieter auszuwählen, der über fortschrittliche Sicherheitsmaßnahmen verfügt und den Schutz Ihrer Mitarbeiterdaten ernst nimmt.

Datenschutz und Sicherheit haben bei Lano oberste Priorität. Aus diesem Grund haben wir zahlreiche Maßnahmen ergriffen, um Ihre Gehaltsabrechnungsdaten zu schützen. Die globale Payroll-Lösung von Lano setzt auf moderne Cloud-Technologie, die wesentlich höhere Sicherheitsstandards bietet als herkömmliche Systeme. 

All unsere Systeme sind durch fortschrittliche Firewalls geschützt, und kritische Netzwerkkomponenten sind in separate Segmente mit eigenen Sicherheitsprotokollen aufgesplittet. Sowohl die Datenspeicherung als auch der Datenaustausch zwischen unserer Plattform und externen Systemen sind verschlüsselt. Die Daten werden in Rechenzentren in Europa gespeichert, wodurch die Einhaltung der höchsten Schutz- und Sicherheitsstandards gewährleistet ist.

Unsere Plattform ist vollständig DSGVO-konform, von bestehenden Verfahren für Datenzugriffsanfragen bis hin zu technischen Aspekten wie SSL-Verschlüsselung. So erhalten auch Kunden aus dem nichteuropäischen Ausland Datenschutz- und Sicherheitsstandards auf EU-Niveau. Systemzugriffe und Änderungen werden genau überwacht und unsere Datenschutzmaßnahmen werden regelmäßig von Experten überprüft. 

Sie möchten mehr über die globale Payroll-Lösung von Lano erfahren oder haben Fragen zur Payroll-Sicherheit bei Lano? Dann buchen Sie eine Demo mit unserem Expertenteam.