- Warum fällt Zeiterfassung überhaupt unter die DSGVO?
- Welche Rechtsgrundlage gilt für die Zeiterfassung in Deutschland?
- Welche Daten dürfen Unternehmen für die Zeiterfassung erfassen – und welche besser nicht?
- Wie setzen Unternehmen Zeiterfassung DSGVO-konform in der Praxis um?
- Wer darf Arbeitszeiten einsehen – und wo liegen die Datenschutzgrenzen?
- Ist schriftliche oder elektronische Zeiterfassung erlaubt?
- Zeiterfassung per Fingerabdruck: Was sagt die DSGVO?
- Welche Zeiterfassung ist DSGVO-konform? Checkliste für HR und Management
- Fazit: DSGVO-konforme Zeiterfassung braucht klare Regeln und das richtige System
Zeiterfassung DSGVO: datenschutzkonform umsetzen
Wie der Name, die Adresse oder das Aussehen, sind auch Arbeitszeiten personenbezogene Daten. Aus diesem Grund unterliegen sie direkt der Datenschutzgrundverordnung. Unternehmen bringt das in eine rechtlich schwierige Situation. Einerseits besteht die Pflicht zur Arbeitszeiterfassung. Andererseits dürfen die Zeitdaten nur unter bestimmten Bedingungen erfasst werden.
In diesem Leitfaden erfahren Sie, wie Sie die Brücke zwischen Arbeitsrecht und Datenschutz meistern. Sie erfahren Beispiele zur DSGVO-Zeiterfassung aus der Praxis. Wir geben Ihnen klare Handlungsempfehlungen und erklären, was unbedingt zu beachten ist.
Vorab verraten wir Ihnen die 5 wichtigsten DSGVO-Regeln für Zeiterfassung in aller Kürze:
1. Daten nur für klare Zwecke nutzen
2. Nur notwendige Daten erfassen
3. Verarbeitung muss erlaubt sein
4. Mitarbeitende müssen informiert werden
5. Daten sicher schützen
Übersicht
Die DSGVO betrifft personenbezogene Daten. Dazu gehören zum Beispiel der Name oder die Adresse. Arbeitszeiten werden mit Name, Personalnummer und dem Zeitstempel aufgezeichnet. Sie lassen sich also eindeutig einer Person zuordnen. Damit zählen sie laut Gesetz zu den personenbezogenen Daten.
Das bedeutet jedoch nicht, dass Unternehmen, die Arbeitszeiten ihrer Mitarbeiter erfassen, sich strafbar machen. Ganz im Gegenteil. Die Arbeitszeiten müssen erfasst werden. Es gelten nur einige Auflagen, welche Daten erfasst und wie sie gespeichert werden.
Beispiel: Pauline arbeitet bei der Beispiel GmbH. Von Montag bis Freitag arbeitet sie von 08:00 bis 17:00 Uhr. Von 12:00 bis 13:00 Uhr macht sie eine Pause. Über eine HR-Software loggt sie sich ein und aus. Die Daten werden auf einer Plattform gespeichert und in ihrem Profil zugeordnet. Dadurch entsteht ein personenbezogenes Arbeitszeitprofil.
2022 hat das Bundesarbeitsgericht entschieden, dass Arbeitgeber Arbeitszeiten systematisch erfassen müssen. Laut diesen Beschlusses muss ein System eingeführt werden, welches den Beginn und das Ende von Arbeitszeiten erfasst. Es wird durch das Bundesdatenschutzgesetz ergänzt. Im § 26 ist die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses geregelt. Hier wird genauer erklärt, wann Daten verarbeitet werden dürfen. Hieraus wird explizit klar, dass nur Daten erhoben werden dürfen, die für das Arbeitsverhältnis nötig sind. Durch den Gesetzesbeschluss ist die Zeiterfassung für das Arbeitsverhältnis relevant. Das gerechtfertigt die Aufzeichnung.
Das Arbeitszeitrecht regelt, ob Unternehmen Arbeitszeiten erfassen müssen. Das Datenschutzrecht regelt, wie Unternehmen Arbeitszeiten erfassen. Erfahren Sie alles zur Pflicht zur digitalen Zeiterfassung in unserem Artikel.
Die DSGVO-konforme Zeiterfassung in einem Unternehmen muss zweckmäßig sein. Das bedeutet, dass nur Daten erhoben werden dürfen, die auch wirklich erforderlich sind. Dazu zählen Daten, die für Arbeitszeitnachweis, Organisation oder Gehaltsabrechnung nötig sind. Im Falle der Zeiterfassung betrifft das Beginn und Ende der Arbeitszeit, sowie Pausen. Das Gesetz macht deutlich, dass die Zeiterfassung keine permanente Verhaltenskontrolle sein darf.
Es gibt einige Grauzonen, die beachtet werden müssen. Dazu zählen:
- Standortdaten: Gerade, wenn Mitarbeiter viel unterwegs sind, werden gerne Standortdaten abgerufen. Die Zeiterfassung mit GPS ist jedoch nur begrenzt erlaubt. Die Mitarbeiter müssen dem aktiv zustimmen und die Standortverfolgung aktiv auslösen.
- Biometrische Daten: Fingerabdruck, Iris-Scan oder ein Gesichtsbild. Das alles sind biometrische Daten. Hier gilt besondere Vorsicht, denn sie unterliegen besonderem Schutz. Es benötigt die ausdrückliche Zustimmung und einen Grund für die Erfassung dieser Daten. Für die Zeiterfassung wird diese Form daher nicht genutzt. In vielen Unternehmen werden biometrische Daten eher als Zutrittskontrolle schützenswerter Bereiche genutzt.
- Video- oder Computerüberwachung: Eine dauerhafte Überwachung des Computers ist nicht zulässig. Auch die Überwachung über Videokameras ist verboten. Dies verletzt die Persönlichkeitsrechte der Mitarbeiter.
Für die DSGVO-konforme Zeiterfassung gibt es einfache Leitlinien zu beachten. Durch die Zusammensetzung der einzelnen Bausteine, stellen Sie maximale Compliance sicher. Dazu gehören:
- Transparenz gegenüber Mitarbeitenden
- klare Zwecke der Verarbeitung
- Rollen- und Rechtekonzept
- Datensicherheit / TOMs
- Aufbewahrung und Löschkonzept
- AV-Vertrag bei externen Dienstleistern
- Dokumentation der Prozesse
Digitale Systeme helfen, Berechtigungen, Dokumentation und sichere Speicherung sauber abzubilden.
1. Mitarbeitende transparent informieren
Alle Mitarbeitenden müssen einen Überblick erhalten, welche Daten von ihnen erfasst werden. Außerdem sollte erklärt werden, warum diese Daten verarbeitet werden. Informieren Sie die Beschäftigten darüber, wer Zugriff auf sie hat und wie lange sie gespeichert werden. Leicht zugängliche Informationen über eine HR-Software erhöhen Transparenz und Compliance.
2. Zugriffsrechte sauber steuern
Es muss ein klares Rollen- und Rechtekonzept geben, wer auf welche Daten zugreifen darf. Bei der Zeiterfassung sind es oft HR, Führungskräfte und Teamleiter. Den Mitarbeitern sollte transparent offengelegt werden, wer Zugriff auf diese Daten hat. Die Berechtigungen sollten regelmäßig überprüft werden, um Compliance sicherzustellen.
3. Speicherfristen und Löschkonzept festlegen
Zeiterfassungsdaten werden nicht unbegrenzt gespeichert. Sie dürfen nur so lange gespeichert werden, wie sie für das Unternehmen zweckmäßig sind. Stellen Sie die automatische Löschung nach Ablauf der Fristen sicher.
4. AV-Vertrag und technische Sicherheit sicherstellen
Nutzung von externer Software oder Cloud-Anbietern sollte der Speicherort beachtet werden. Server sollten mindestens in Europa oder im besten Fall in Deutschland stehen. Nur so kann sichergestellt werden, dass auch sie lokale DSGVO Gesetze einhalten. Stellen Sie sicher, dass unternehmensinterne Daten nur verschlüsselt an externe Dienstleister weitergeleitet werden. Im Falle von Systemausfällen sollten auch Backups gemacht werden.
Grundsätzlich dürfen nur Personen Arbeitszeiten einsehen, für die diese Information erforderlich ist.
- Darf ein Kollege meine Arbeitszeit kontrollieren? Nein. Kollegen sollten keine unnötige Einsicht in die Arbeitszeiten bekommen.
- Darf ein Vorgesetzter Arbeitszeiten einsehen? In diesem Fall kommt es darauf an. Dient die Einsicht in die Arbeitszeit einem bestimmten Zweck, ist sie zulässig. Der Vorgesetzte braucht dafür hingegen einen guten Grund.
Ja, sie ist sogar erforderlich. So hat es das Bundesarbeitsgericht im September 2022 entschieden. Entweder schriftlich oder digital müssen Unternehmen die Arbeitszeiten ihrer Mitarbeiter kontrollieren.
Die schriftliche Zeiterfassung war vor einigen Jahren noch sehr beliebt. Mit einer traditionellen Stempelkarte konnte man darauf geleistete Stundenzahlen eintragen. Dies ist jedoch nicht mehr zeitgemäß. Heute setzt man auf prozesssichere, automatisierte HR-Softwares. Sie erfassen nicht nur Stunden, sondern gewährleisten außerdem Compliance.
Laut Artikel 9 DSGVO gehören biometrische Daten, wie Fingerabdrücke, zu besonderen personenbezogenen Daten. Das bedeutet, dass sie besonders schützenswert sind. Die Verarbeitung dieser Daten ist grundsätzlich untersagt. Die Zeiterfassung mit Fingerabdruck ist daher gesetzlich schwierig umzusetzen. Wer dies umsetzen will, muss strenge Anforderungen an die Verarbeitung einhalten. Grundsätzlich kann die Umsetzung mit Einwilligung der Mitarbeitenden erfolgen.
Die Freiwilligkeit im Arbeitsverhältnis ist jedoch kritisch zu betrachten, weil eine Abhängigkeit besteht. Von einem Fingerabdruck als Standardlösung für Zeiterfassung ist daher abzuraten. Vielmehr sollten mildere Mittel geprüft werden, wie ein Terminal mit Chipkarte. Die Erfassung über login-basierte Systeme oder Apps sind ebenfalls beliebte Alternativen.
Mit einer einfachen Checkliste können Sie schnell erkennen, ob Ihre Zeiterfassung DSGVO konform ist. Sie besitzt:
- Rollen- und Rechteverwaltung
- Protokollierung
- sichere Speicherung
- AV-Vertrag
- transparente Mitarbeiterinformation
- Datenminimierung
- Korrektur- und Exportmöglichkeiten
- klare Trennung von Zeiterfassung und Leistungsüberwachung
Sind alle diese Punkte erfüllt, ist Ihre Zeiterfassung DSGVO konform. Sollten Sie sich nicht sicher sein, hilft es, mit Experten zu sprechen. Gerade digitale Software kann bei der Umsetzung von Compliance helfen. Automatisierte Regelungen und Workflows sorgen für datenschutzkonforme Datenerhebung. Rollenbasierte Zugriffsrechte gewährleisten, dass nur autorisierte Personen Zugriff haben. Digitale Workforce-Management-Software von Protime unterstützt deutsche Unternehmen bei Zeiterfassung und Workforce Management.
Arbeitszeiterfassung ist in Unternehmen Pflicht. Für Unternehmen ist es rechtlich relevant, sich mit diesem Thema auseinanderzusetzen. Die Datenschutzgrundverordnung entscheidet letztendlich über die zulässige Umsetzung. Unternehmen müssen die Arbeitszeiten nach folgenden Kriterien erfassen:
- Transparent.
- Zweckgebunden.
- Sicher.
Um dies zu gewährleisten, gibt es moderne HR-Software. Sie hilft dabei, notwendige Daten sauber und nachvollziehbar zu erfassen und aufzubereiten. Sie unterstützt bei der Compliance und warnt bei risikoreichen Vorgängen. So gibt es beispielsweise bei der Zeiterfassung mit GPS, sowie der Erfassung von biometrischen Daten besondere Dinge zu berücksichtigen.
Wer Zeiterfassung DSGVO-konform und effizient machen möchte, sollte auf klare Prozesse und ein System mit sauberem Rechtekonzept achten.