Arbeitszeiterfassung und Datenschutz – So setzen die gesetzlichen Vorgaben richtig um

Autor: Nina Zimmer
Kategorien: Rechtliches
Veröffentlicht:

Viele Unternehmen in der EU stehen vor der Herausforderung, datenschutzrechtliche Vorgaben bei der Arbeitszeiterfassung korrekt umzusetzen. 

In diesem Artikel erfahren Sie mit vielen Praxisbeispielen, welche datenschutzrechtlichen Vorgaben bei der Zeiterfassung gelten, was diese im Kontext Zeiterfassung konkret bedeuten und mit welchen Maßnahmen Sie die Einhaltung der DSGVO sicherstellen können.

Arbeitszeiterfassung und Datenschutz

Außerdem beantworten wir am Ende die wichtigsten praxisrelevanten Fragen rund um das Thema.

Inhaltsverzeichnis

Rechtliche Grundlagen zum Datenschutz in der EU

Arbeitszeitdaten zählen zu den personenbezogenen Daten. Unternehmen und insbesondere Arbeitgeber in der EU müssen daher bestimmte datenschutzrechtliche Vorschriften beachten, wenn sie die Daten von Beschäftigten, Kunden oder Lieferanten verarbeiten.

Dazu gehört vor allem die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Diese wird in manchen Aspekten durch nationale Datenschutzgesetze ergänzt. Mit der DSGVO hat die EU einen einheitlichen Umgang mit personenbezogenen Daten angestrebt.

Im Folgenden haben wir für Sie die Rechtslage für Deutschland und Österreich zusammengefasst.

Die Datenschutz-Grundverordnung (DSGVO) der EU

Die DSGVO ist eine Verordnung, die den Schutz personenbezogener Daten von EU-Bürgern regelt. Sie ist mit 25. Mai 2018 in Kraft getreten und legt fest, wie Unternehmen, Behörden und andere Organisationen personenbezogene Daten 

  • erheben, 
  • speichern, 
  • verarbeiten und 
  • weitergeben dürfen. 

Die DSGVO zielt darauf ab, die Privatsphäre und die Rechte der betroffenen Personen zu schützen und gleichzeitig den freien Datenverkehr innerhalb der EU zu gewährleisten (vgl. Art. 1 Abs. 2 DSGVO).  

Datenschutz-Grundverordnung (DSGVO) der EU

Was sind personenbezogene Daten im Sinne der DSGVO?

Personenbezogene Daten im Sinne der DSGVO sind alle Daten, die es ermöglichen, eine natürliche Person (auch “betroffene Person” genannt) zu identifizieren, zu bestimmen oder zu klassifizieren. 

Eine Person ist identifizierbar, wenn sie direkt oder indirekt, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder besonderen Merkmalen, erkannt werden kann.

Wichtig: Auch Arbeitszeitdaten zählen zu den personenbezogenen Daten.

Beispiele für personenbezogene Daten:

  1. Name: Vor- und Nachname einer Person.
  2. Kontaktinformationen: E-Mail-Adresse, Telefonnummer, Postadresse.
  3. Geburtsdatum: Datum und Ort der Geburt.
  4. Identifikationsnummern: Sozialversicherungsnummer, Personalausweisnummer.
  5. Online-Daten: IP-Adressen, Cookie-Daten, Social Media-Profile.
  6. Finanzdaten: Bankdaten, Kreditkartennummer.
  7. Biometrische Daten: Fingerabdrücke, Gesichtserkennung, Iris-Scan.
  8. Gesundheitsdaten: Informationen über den Gesundheitszustand einer Person, Krankheitsgeschichte.
  9. Standortdaten: Bewegungsprofile, Standortverläufe (z.B. GPS-Daten).
  10. Berufliche Informationen: Arbeitsplatz, berufliche Stellung, Arbeitszeiten.
Personenbezogene Daten DSGVO

In welchem Anwendungsbereich gilt die DSGVO?

Der Anwendungsbereich der DSGVO ist weit gefasst. Er ist sowohl sachlich als auch räumlich definiert.

1. Sachlicher Anwendungsbereich: Für was gilt die DSGVO?

Die DSGVO gilt für Verarbeitungaktivitäten personenbezogener Daten. Das umfasst:

Automatisierte Verarbeitung:Nicht-automatisierte Verarbeitung:
Jegliche Datenverarbeitung durch automatisierte Verfahren, wie in Computern, Software oder IT-Systemen.Auch manuelle Datenverarbeitung fällt unter die DSGVO, wenn die Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 
Wichtig: Als Dateisystem gilt auch die Arbeitszeiterfassung auf Papierzetteln, da diese in der Regel ebenfalls abgelegt und aufbewahrt werden.

Beispiele für Verarbeitungsaktivitäten, die unter die DSGVO fallen:

  • Datenerhebung (z.B. über Online-Formulare)
  • Speicherung von Daten (in Datenbanken, CRM-Systemen)
  • Nutzung und Auswertung der Daten (z.B. zu Marketingzwecken)
  • Übermittlung von Daten (innerhalb eines Unternehmens oder an Dritte)
  • Löschen von Daten
2. Räumlicher Anwendungsbereich: Wo gilt die DSGVO?

Die DSGVO hat eine weitreichende räumliche Anwendung und gilt:

Innerhalb der EU:Außerhalb der EU:
Für alle Unternehmen, Behörden und Organisationen, die innerhalb der EU tätig sind und personenbezogene Daten verarbeiten, unabhängig von ihrer Rechtsform.Åuch für Unternehmen außerhalb der EU, wenn sie Daten von Personen verarbeiten, die in der EU ansässig sind, und dies für
a) das Angebot von Waren oder Dienstleistungen an diese Personen (auch kostenlos), oder
b) der Überwachung ihres Verhaltens (z.B. durch Tracking auf Websites) tun.
3. Anwendungsbereiche in Unternehmen

Die DSGVO betrifft Unternehmen jeder Größe, von Kleinunternehmen bis zu großen Konzernen, sowie Non-Profit-Organisationen und Behörden. Sie gilt für eine Vielzahl von Geschäftsprozessen, wie z.B.:

  • Kundenverwaltung
  • Marketingkampagnen
  • Mitarbeitermanagement (Erfassung von Arbeitszeiten, Gehaltsabrechnung, Personalakt usw.)
  • Website-Analyse und Tracking
DSGVO Anwendungsbereiche

Insgesamt ist die DSGVO somit in nahezu allen Unternehmensbereichen relevant, in denen personenbezogene Daten erhoben oder verarbeitet werden, und gilt sowohl für öffentliche als auch private Organisationen.

Nationale Datenschutzgesetze

Generell gilt: Die DSGVO findet unmittelbar in allen EU-Mitgliedstaaten Anwendung und hat gegenüber nationalem Recht Vorrang, so auch in Deutschland und Österreich.

Innerhalb der DSGVO gibt es jedoch sogenannte Öffnungs- bzw. Spezifizierungsklauseln. Diese sehen in bestimmten Fällen vor, dass die Mitgliedstaaten der EU für bestimmte Bereiche eigene nationale Regelungen zum Datenschutz erlassen können. Diese müssen jedoch stets im Einklang mit der DSGVO stehen.

Deutschland

In Deutschland enthält das Bundesdatenschutzgesetz (BDSG) zum Beispiel relevante nationale Bestimmungen zum Beschäftigtendatenschutz (§ 26 BDSG), die das Unionsrecht der DSGVO ergänzen. 

Flagge Deutschland

Österreich

In Österreich ergänzt das Datenschutzgesetz (vgl. DSG) die Datenschutz-Grundverordnung der EU.

Flage Österreich

Wie Sie die Einhaltung der DSGVO bei der Zeiterfassung sicherstellen

Einhaltung der Grundsätze der DSGVO

Bei Arbeitszeiten handelt es sich um personenbezogene Daten im Sinne der DSGVO. Die DSGVO basiert auf sieben Grundsätzen, die den rechtlichen Rahmen für den Umgang mit personenbezogenen Daten festlegen. Diese Grundsätze sind in Artikel 5 der DSGVO (Art. 5 DSGVO) verankert.  Sie geben vor, wie Unternehmen, Behörden und Organisationen Daten erheben, verarbeiten und speichern dürfen.

DSGVO sieben Grundsätze

Diese Grundsätze zielen darauf ab, den Schutz der personenbezogenen Daten zu maximieren und den Missbrauch dieser Daten möglichst gering zu halten. Sie gelten für jede Art der Datenverarbeitung, von der Erhebung über die Speicherung bis hin zur Löschung, und legen fest, dass die betroffenen Personen umfassende Rechte haben. 

Arbeitgeber müssen dafür Sorge tragen, dass sie diese Grundsätze auch bei der Arbeitszeiterfassung einhalten. Wir zeigen Ihnen folgend, wie das gelingt:

GrundsatzErklärungPraxistipp
1 a) Rechtmäßigkeit:Die Verarbeitung personenbezogener Daten muss auf einer gesetzlichen Grundlage beruhen.Da Sie mit der Arbeitszeiterfassung eine gesetzliche Verpflichtung erfüllen, dürfen Sie jedenfalls die Daten dazu erheben, speichern, verarbeiten und löschen.
1 b) Verarbeitung nach Treu und Glauben:Die Arbeitszeitdaten müssen auf eine faire und nachvollziehbare Weise verarbeitet werden. Das bedeutet, dass sie nicht für andere, unrechtmäßige Zwecke genutzt werden dürfen, wie z. B. eine übermäßige Überwachung der Mitarbeiter.Verwenden Sie die Daten ausschließlich für den vorgesehenen Zweck, wie die Lohnabrechnung oder die Einhaltung gesetzlicher Arbeitszeitvorgaben.
1 c) Transparenz:Mitarbeiter müssen klar und verständlich darüber informiert werden, welche Daten erfasst werden, zu welchem Zweck, wie lange sie gespeichert und wie sie vor Missbrauch geschützt werden.Geben Sie diese Informationen in einer Datenschutzerklärung oder im Arbeitsvertrag an.
2) ZweckbindungDie erhobenen Arbeitszeitdaten dürfen nur für klar definierte und legitime Zwecke verwendet werden, z. B. zur Einhaltung von Arbeitszeitgesetzen oder zur Lohnabrechnung.Bei der Arbeitszeiterfassung ist es also nicht zulässig, die Daten für andere Zwecke zu verwenden, wie beispielsweise die Überwachung der Produktivität oder die Erstellung von Profilen.

Erfassen Sie deshalb Arbeitszeitdaten nur für legitime Zwecke.
3) DatenminimierungErfassen Sie nur die notwendigen Daten zur Erfüllung der gesetzlichen Anforderungen.Dazu gehören in der Regel der Beginn und das Ende der Arbeitszeit, die Pausenzeiten und eventuell Überstunden oder Reisezeiten.

Vermeiden Sie es, unnötige Informationen zu sammeln, wie z. B. GPS-Tracking der Aufenthaltsorte während der Arbeitszeit, wenn dies nicht unbedingt notwendig ist.
4) RichtigkeitSie müssen sicherstellen, dass die erfassten Zeitdaten richtig und aktuell sind.Sorgen Sie mit Kontrollmaßnahmen dafür, dass keine Fehler in der Zeiterfassung passieren.

Geben Sie den Mitarbeitern die Möglichkeit, ihre Arbeitszeitaufzeichnungen zu überprüfen und etwaige Fehler zu melden.

Dies kann durch Zugang zu einem digitalen Zeiterfassungssystem oder durch manuelle Kontrolle der Stundenzettel und regelmäßige Abrechnungen von Überstunden erfolgen.
5) SpeicherbegrenzungArbeitszeitdaten dürfen nur so lange gespeichert werden, wie es für den vorgesehenen Zweck notwendig ist.Löschen oder anonymisieren Sie die Daten, sobald sie nicht mehr benötigt werden, beispielsweise nach Ablauf gesetzlicher Aufbewahrungsfristen, die in der Regel zwischen zwei und zehn Jahren liegen.

Welche Aufbewahrungsfristen konkret gelten können, haben wir hier für Sie in einem eigenen Beitrag zusammengefasst.
6) Integrität und Vertraulichkeit (Datensicherheit)Treffen Sie technische und organisatorische Maßnahmen, um die Arbeitszeitdaten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen.Dies kann durch Maßnahmen wie Verschlüsselung, Zugangsbeschränkungen und regelmäßige Datensicherungen erreicht werden.

Nur autorisierte Personen, wie die Personalabteilung oder Führungskräfte, sollten Zugang zu diesen Daten haben.

Eine digitale Zeiterfassung erleichtert die Datensicherheit, da alle Daten zentral verarbeitet und gespeichert werden. Moderne Software bietet zudem die Möglichkeit, individuelle Zugriffsrechte festzulegen, sodass nur autorisierte Personen Zugang haben.
7) RechenschaftspflichtSie als Arbeitgeber müssen jederzeit in der Lage sein, die Einhaltung der DSGVO gegenüber Ihren Mitarbeitern nachzuweisen. Unternehmer müssen somit Dokumentationen, Prozesse und Maßnahmen vorweisen können, die zeigen, dass sie die Datenschutzanforderungen erfüllen.Dies erfordert eine klare Dokumentation der Arbeitszeiterfassungssysteme, der Sicherheitsmaßnahmen und der Datenverarbeitungsprozesse

Dokumentieren Sie all diese Informationen in einem Datenverarbeitungsverzeichnis und führen Sie regelmäßig interne Audits durch, um sicherzustellen, dass die datenschutzrechtlichen Vorgaben eingehalten werden.

Gewährleistung der Betroffenenrechte

Die DSGVO gewährt betroffenen Personen auch eine Reihe von Rechten, um den Schutz ihrer personenbezogenen Daten zu gewährleisten. 

DSGVO rechte arbeitszeiterfassung

Welche Betroffenenrechte für Sie als Arbeitgeber bei der Arbeitszeiterfassung besonderer Wichtigkeit sind, haben wir folgend mit zahlreichen Beispielen zusammengefasst:

Übersicht über die wichtigsten Betroffenenrechte beim Thema Zeiterfassung: 

  1. Recht auf Auskunft
  2. Recht auf Berichtigung
  3. Recht auf Löschung
  4. Recht auf Einschränkung der Verarbeitung
  5. Recht auf Widerspruch
  6. Recht auf Widerruf der Einwilligung
  7. Recht, keiner automatisierten Entscheidung unterworfen zu werden
  8. Recht auf Unterrichtung
  9. Recht auf Beschwerde bei der Aufsichtsbehörde
1. Recht auf Auskunft (Art. 15 DSGVO)

Mitarbeiter haben nach dem Grundsatz der Transparenz das Recht, vom Arbeitgeber Auskunft darüber zu verlangen, welche personenbezogenen Daten über sie verarbeitet werden.

In Bezug auf die Arbeitszeiterfassung bedeutet das, dass Arbeitnehmer das Recht haben, zu erfahren:

Personenbezogene Daten
  • Welche Arbeitszeitdaten (z. B. Beginn, Ende der Arbeitszeit, Pausen) erfasst werden.
  • Zu welchem Zweck die Daten verarbeitet werden (z. B. für Gehaltsabrechnung, gesetzliche Nachweispflichten).
  • Wer Zugriff auf diese Daten hat und wie lange sie gespeichert werden
  • Welche technisch-organisatorischen Maßnahmen getroffen wurden, um die Daten vor Missbrauch usw. zu schützen.
2. Recht auf Berichtigung (Art. 16 DSGVO)

Mitarbeiter können die Berichtigung ihrer Arbeitszeitdaten verlangen, wenn sie falsch oder ungenau erfasst wurden.

Beispiel

Ein Mitarbeiter stellt fest, dass seine Pausenzeiten falsch eingetragen sind. Er kann verlangen, dass die Pausenzeit korrigiert wird.

3. Recht auf Löschung (Recht auf Vergessenwerden) (Art. 17 DSGVO)

Das Recht auf Löschung (auch „Recht auf Vergessenwerden“) gibt den Mitarbeitern die Möglichkeit, die Löschung ihrer Daten zu verlangen, wenn diese nicht mehr benötigt werden oder unrechtmäßig verarbeitet wurden.

Allerdings kann dieses Recht bei der Arbeitszeiterfassung eingeschränkt sein, wenn gesetzliche Aufbewahrungspflichten bestehen, wie z. B. nach dem Arbeitszeitgesetz oder Steuerrecht.

Expertentipp

In der Praxis empfiehlt sich dazu, ein Löschkonzept für alle Daten, die Sie verarbeiten, festzulegen und die Mitarbeiter auch darüber zu informieren.

Info
4. Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Betroffene haben das Recht, unter bestimmten Bedingungen die Einschränkung der Verarbeitung ihrer Daten zu verlangen, z. B.: wenn die Richtigkeit der Daten bestritten wird und die Überprüfung läuft.

Beispiel

Ein Mitarbeiter entdeckt, dass die Zeiterfassung fälschlicherweise eine 3-stündige Pause statt der regulären 30 Minuten eingetragen hat. Er beantragt die Einschränkung der Verarbeitung, bis die korrekte Pausenzeit eingetragen wird. Die ungenauen Daten dürfen in dieser Zeit nicht für die Lohnabrechnung oder andere Zwecke verwendet werden.

5. Recht auf Widerspruch (Art. 21 DSGVO)

Das Recht auf Widerspruch erlaubt es Mitarbeitern, der Verarbeitung ihrer Arbeitszeitdaten zu widersprechen, wenn diese auf Grundlage eines berechtigten Interesses des Arbeitgebers erfolgt.  

Allerdings ist dieses Recht bei der Arbeitszeiterfassung eingeschränkt, wenn die Erfassung aufgrund gesetzlicher Vorgaben erforderlich ist (z. B. Mindestlohngesetz, Arbeitszeitgesetz) und somit zwingende Gründe vorliegen, die für die Arbeitszeiterfassung sprechen.

Beispiel

Ein Unternehmen verwendet ein digitales Zeiterfassungssystem, das neben der Arbeitszeit auch Standortdaten (GPS) erfasst, um die Effizienz von Außendienstmitarbeitern zu analysieren. Ein Mitarbeiter empfindet dies als Eingriff in seine Privatsphäre und widerspricht der Verarbeitung. Der Arbeitgeber muss nun abwägen, ob das berechtigte Interesse des Unternehmens die Privatsphäre des Mitarbeiters überwiegt. Kann der Arbeitgeber keine zwingenden Gründe vorweisen, muss die Erfassung der Standortdaten eingestellt werden, während die reine Arbeitszeiterfassung weiterhin erlaubt bleibt.

Standortdaten GPS
6. Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO)

Wenn die Verarbeitung bestimmter Arbeitszeitdaten auf der Einwilligung der betroffenen Person beruht, kann diese ihre Einwilligung jederzeit widerrufen, ohne dass dies die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung berührt.

Beispiel

Ein Unternehmen nutzt ein biometrisches Zeiterfassungssystem, das die Anwesenheit per Fingerabdruck erfasst. Da die Erhebung von biometrischen Daten besonders sensibel ist, benötigt der Arbeitgeber hierfür die Einwilligung der Mitarbeiter. Ein Mitarbeiter widerruft seine Einwilligung nach einiger Zeit, woraufhin der Arbeitgeber die Nutzung und Speicherung der Fingerabdruckdaten sofort beenden und diese löschen muss. Der Mitarbeiter muss nun die Möglichkeit haben, seine Arbeitszeiten über eine alternative Methode, wie eine Stempeluhr oder digitale Eingabe, zu erfassen.

7. Recht, keiner automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO)

Wenn Sie in der Arbeitszeiterfassung automatisierte Systeme verwenden, die Entscheidungen ohne menschliches Eingreifen treffen, haben Ihre Mitarbeiter das Recht, eine menschliche, manuelle Überprüfung der Entscheidung zu verlangen.

Beispiel

Ein Unternehmen verwendet ein digitales Zeiterfassungssystem, das nicht nur die Arbeitszeiten erfasst, sondern auch automatisch erkennt, ob Überstunden anfallen. Ein Mitarbeiter stellt fest, dass das System fälschlicherweise keine Überstunden erkennt, wodurch ihm zustehende Zuschläge vorenthalten werden. Er hat das Recht, eine persönliche Überprüfung des Falls durch eine Person zu verlangen, um zu klären, ob ihm Überstunden zustehen.

Expertentipp

Sie können betriebsintern einen fachlich versierten Zeiterfassungsbeauftragten benennen, der in solchen Fällen als Kontrollinstanz dient.

8. Recht auf Unterrichtung (Art. 19 DSGVO)

Das Recht auf Unterrichtung (gemäß Art. 19 DSGVO) bedeutet, dass betroffene Personen darüber informiert werden müssen, wenn ihre personenbezogenen Daten berichtigt, gelöscht oder in der Verarbeitung eingeschränkt werden.

Arbeitszeiterfassung Unterrichtung

Im Kontext der Arbeitszeiterfassung bedeutet dieses Recht, dass Mitarbeiter stets benachrichtigt werden müssen, wenn Änderungen an den Daten, die ihre Arbeitszeiten betreffen, vorgenommen werden. Hier sind die wichtigsten Aspekte dieses Rechts im Zusammenhang mit der Arbeitszeiterfassung:

Beispiel

Ein Mitarbeiter meldet, dass seine Arbeitszeit an einem bestimmten Tag falsch erfasst wurde. Nachdem die Korrektur vorgenommen wurde, informiert der Arbeitgeber den Mitarbeiter darüber, dass die Arbeitszeitdaten berichtigt wurden.

9. Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO)

Betroffene haben das Recht, eine Beschwerde bei einer Datenschutzaufsichtsbehörde einzureichen, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen die DSGVO verstößt.


Maßnahmen zur Umsetzung der DSGVO-Grundsätze bei der Arbeitszeiterfassung

Um sicherzustellen, dass die Verarbeitung von Arbeitszeitdaten DSGVO-konform erfolgt, sollten Arbeitgeber verschiedene Maßnahmen ergreifen. Im Folgenden zeigen wir Ihnen, welche Schritte Sie beachten sollten, um die Datenschutzbestimmungen einzuhalten:

  1. Datenschutzerklärung
  2. Führung eines Datenverarbeitungsverzeichnisses
  3. Einholung der Einwilligung der Mitarbeiter

1. Datenschutzerklärung

Stellen Sie sicher, dass Sie eine klare und verständliche Datenschutzerklärung bereitstellen, die die Verarbeitung von Arbeitszeitdaten transparent macht. Dies stärkt gleichzeitig das Vertrauen Ihrer Mitarbeiter. Typische Inhalte sind:

  • Datenkategorien bzw. welche Daten erfasst werden: z. B. Beginn und Ende der Arbeitszeit, Pausen, Überstunden
  • Zweck der Datenerfassung:  z. B. zur Gehaltsabrechnung oder zur Einhaltung von Arbeitszeitgesetzen
  • Rechtsgrundlage: Erklären Sie auf welcher Grundlage Sie das Recht haben, die Daten zu verarbeiten, zB gesetzliche Pflicht zur Arbeitszeiterfassung.
  • Datenverarbeitung und Speicherung: Informieren Sie darüber, wie die Daten verarbeitet und gespeichert werden, beispielsweise in einem digitalen Zeiterfassungssystem.
  • Zugriffsberechtigte: Geben Sie an, wer Zugang zu den Daten hat, wie etwa die Personalabteilung oder Vorgesetzte, um sicherzustellen, dass nur autorisierte Personen Zugriff auf sensible Informationen haben. Wie lange die Daten gespeichert werden
  • Belehrung der Mitarbeiter über Ihre Betroffenenrechte: Informieren Sie Ihre Mitarbeiter umfassend, welche Rechte Sie haben.

2. Führung eines Datenverarbeitungsverzeichnisses

Die DGSVO schreibt vor, dass Sie ein Datenverarbeitungsverezeichnis führen müssen. Dieses ist gerade in Bezug auf Mitarbeiter – und Arbeitszeitdaten ein wichtiges Dokument, das nicht nur die Verarbeitung der Daten für Betroffene transparent und überprüfbar macht, sondern auch für Sie als Nachweis bei behördlichen Überprüfungen dient. 

Führung eines Datenverarbeitungsverzeichnisses

Welche wesentlichen Inhalte das Verzeichnis für Arbeitszeiten enthalten sollte, haben wir im Folgenden mit Beispielen für Sie zusammengestellt.

1. Verantwortlicher

Name und Kontaktdaten des Unternehmens sowie gegebenenfalls der Datenschutzbeauftragte.

2. Verarbeitungszweck

Beschreibung der Zwecke der Verarbeitung, z. B.:

  • Erfassung der Arbeitszeiten für die Gehaltsabrechnung
  • Einhaltung von Arbeitszeitgesetzen
  • Überwachung der Arbeitssicherheit und Arbeitsruhe
3. Kategorien von Daten

Genaue Auflistung der erfassten Daten, wie z. B.:

  • Beginn und Ende der Arbeitszeit
  • Pausen
  • Überstunden
  • Abwesenheitsgründe
4. Kategorien betroffener Personen

Beschreibung der Personengruppen, deren Daten verarbeitet werden, z. B.:

  • Mitarbeiter
  • Minijobber
  • Auszubildende
5. Empfänger der Daten

Angabe von Dritten oder Kategorien von Dritten, an die die Daten übermittelt werden, z. B.:

  • Lohnbuchhaltungsdienstleister
  • Steuerberatung
  • Finanzamt 
  • Aufsichtsbehörden bei Bedarf
6. Übermittlungen in Drittländer

Informationen über etwaige Übermittlungen personenbezogener Daten in Länder außerhalb der EU und die entsprechenden Schutzmaßnahmen. Dies könnte bei einer digitalen Arbeitszeiterfassung relevant sein, wenn der Serverstandort des Anbieters sich außerhalb der EU befindet.

7. Fristen für die Löschung: Vorgaben zur Speicherdauer der Daten und Kriterien für die Löschung, z. B.
  • Daten werden nach 3 Jahren gelöscht, es sei denn, gesetzliche Aufbewahrungspflichten verlangen eine längere Speicherung.
8. Technische und organisatorische Maßnahmen

Beschreibung der Maßnahmen zum Schutz der personenbezogenen Daten, z. B.:

  • Zugriffskontrollen
  • Berechtigungssysteme
  • Verschlüsselung der Daten
  • Schulung der Mitarbeiter im Umgang mit Daten
9. Rechtsgrundlage der Verarbeitung

Angabe der rechtlichen Grundlage, auf der die Datenverarbeitung beruht, z. B.:

  • Erfüllung einer rechtlichen Verpflichtung zur Arbeitszeiterfassung.

Wichtig! 

Ein Datenverarbeitungsverzeichnis muss für jeden Unternehmensbereich geführt werden, in dem personenbezogene Daten verarbeitet werden, zB auch im Verkauf in Bezug auf Kundendaten, oder im Finanzbereich in Bezug auf Mitarbeiterdaten.

3. Einholung der Einwilligung der Mitarbeiter

Im Rahmen der DSGVO ist die Einholung der Einwilligung von Mitarbeitern immer dann notwendig, wenn die Verarbeitung personenbezogener Daten nicht auf einer gesetzlichen Grundlage, einem berechtigten Interesse oder zur Erfüllung des Arbeitsvertrags basiert. Es ist empfohlen, dass die Einwilligung schriftlich oder elektronisch dokumentiert werden sollte.

Ein typisches Beispiel ist die Nutzung sensibler Daten, wie biometrische Daten (z. B. Fingerabdruck zur Zeiterfassung) oder die Erfassung von GPS-Daten. In diesen Fällen muss die Einwilligung freiwillig, spezifisch, eindeutig und gut informiert erfolgen. 

Die wichtigsten Fragen und Antworten zum Thema Arbeitszeiterfassung & Datenschutz

Sind Arbeitszeiten personenbezogene Daten und müssen diese geschützt werden?

Ja, der Europäische Gerichtshof hat in einem Urteil am 30. Mai 2013 (C-342/12) festgestellt, dass Aufzeichnungen zu den Arbeitszeiten von Beschäftigten mit Angabe der Beginn- und Endzeit sowie der Pausen als personenbezogene Daten zu werten sind. Somit unterliegen Arbeitszeiten der DGSVO und müssen entsprechend ihrer Vorgaben geschützt werden.

Ist eine Arbeitszeiterfassung mit der DSGVO vereinbar?

Ja, die Arbeitszeiterfassung ist mit der DSGVO vereinbar, da sie in Deutschland und Österreich auf einer rechtlichen Grundlage beruht, nämlich der Pflicht zur Arbeitszeiterfassung.

Wer darf Einblick in die Arbeitszeitdaten haben?

Grundsätzlich gilt: Es sollten nur jene Personen Einblick und Zugang zu den Arbeitszeitdaten haben, die diese Daten im Rahmen ihrer Tätigkeit benötigen. Das betrifft zum Beispiel HR-Verantwortliche oder Führungskräfte. Darüber hinaus dürfen diese Personen die erfassten Daten nur zweckgebunden einsehen und verwenden. Als Arbeitgeber sind Sie außerdem verpflichtet, alle Mitarbeiter mit Zugang zu den erfassten Arbeitszeiten über die Regelungen des Datenschutzes zu informieren und diese im korrekten Umgang mit diesen Daten zu schulen.

Ist Zeiterfassung mit GPS erlaubt?

Nach den Grundsätzen der DSGVO dürfen Sie nur die Daten erfassen, die für die Zeiterfassung unbedingt notwendig sind. Die Erfassung von GPS-Daten kann in der Regel nur in Ausnahmefällen gerechtfertigt werden, etwa zur Erfüllung eines Arbeitsvertrags oder zur Gewährleistung der Sicherheit der Mitarbeiter bei gefährlichen Einsätzen. Wenn Sie eine digitale  Zeiterfassung mit GPS  verwenden möchten, ist es unerlässlich, die Zustimmung Ihrer Beschäftigten einzuholen und eine klare Datenschutzerklärung bereitzustellen.

Ist Zeiterfassung mit biometrischen Daten erlaubt?

Biometrische Daten sind laut Art. 9 DSGVO eine besonders schützenswerte Kategorie von personenbezogenen Daten. Deren Verarbeitung ist grundsätzlich untersagt, es sei denn die betroffene Person hat in deren Verarbeitung ausdrücklich eingewilligt oder andere wichtige Gründe liegen vor.

Als Arbeitgeber können Sie ein digitales Zeiterfassungssystem mit Erfassung biometrischer Daten – zum Beispiel per Fingerabdruck-Scan – also nicht einfach so einführen. Sie müssen in diesem Fall jedenfalls die Einwilligung Ihrer Beschäftigten einholen. Die DSGVO legt hier allerdings sehr strenge Grundsätze als Maßstab. 

Klären Sie daher vor Einführung eines solchen Systems unbedingt ab, ob dies für Ihren Betrieb im Rahmen der gesetzlichen Regelungen zum Datenschutz zulässig ist!

Wie lange dürfen Arbeitszeiten gespeichert werden?

Für die Aufbewahrung von Arbeitszeiten gibt es verschiedene Aufbewahrungsfristen, die sich aus unterschiedlichen rechtlichen Vorschriften ergeben.

Wichtig

Aus datenschutzrechtlicher Sicht dürfen personenbezogene Daten nur so lange gespeichert werden, wie für den vorgesehenen Zweck notwendig. 

Wo müssen die Server stehen, auf denen Daten gespeichert werden?

Als Arbeitgeber sind Sie verpflichtet, die erfassten Mitarbeiterdaten gemäß der DSGVO angemessen zu schützen. Dies erreichen Sie, indem Sie sicherstellen, dass die Daten auf Servern innerhalb der EU oder in Ländern mit einem anerkannten Datenschutzniveau gespeichert werden. Wichtig ist zudem, dass alle Datenempfänger die DSGVO-Bestimmungen einhalten.

Welche Rolle spielt der Betriebsrat im Hinblick auf Arbeitszeiterfassung und Datenschutz?

Sowohl in Deutschland als auch in Österreich hat der Betriebsrat bei der Einführung eines Zeiterfassungssystems ein Mitbestimmungsrecht. Wenn Sie daher als Arbeitgeber eine Zeiterfassung im Betrieb einführen und es einen Betriebsrat in Ihrem Unternehmen gibt, müssen Sie diesen einbeziehen und eine Betriebsvereinbarung treffen. Die Bestimmungen der DSGVO sind dabei einzuhalten.