Zeiterfassung und Datenschutz

Datenschutz verstehen – Zeiterfassung und Datenschutz

Zeiterfassung Datenschutz
Zusammenfassung
  1. Durch den Einsatz von Chipkarten, Transpondern und Apps bei Zeiterfassungssystemen werden personenbezogene Daten erhoben und eröffnen so den Anwendungsbereich der DSGVO und des BDSG-neu.
  2. In der Regel ist eine Zeiterfassung zur Durchführung des Beschäftigungsverhältnisses erforderlich. Die sicherste Rechtsgrundlage ist jedoch die informierte Einwilligung.
  3. Die Authentifizierung von Mitarbeitern mittels biometrischer Daten wie beispielsweise einem Fingerabdruck stellt eine Verarbeitung besonders personenbezogener Daten dar und muss auf eine wirksame Rechtsgrundlage aufbauen.
  4. Es muss eine konkrete Speicherdauer der personenbezogenen Daten innerhalb des Zeiterfassungssystems benannt werden. Für unterschiedliche Daten gelten dabei verschiedene Aufbewahrungsfristen.
  5. Vor allem bei der Verwendung von biometrischen Daten innerhalb eines Zeiterfassungssystems sollte eine Datenschutz-Folgenabschätzung durchgeführt werden, um die Risiken für die Rechte und Freiheiten der Arbeitnehmer abzuwägen.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

PlayPlay

Nicht nur die Vorteile der elektronischen Zeiterfassung bringen zahlreiche Unternehmen dazu, ihre alte Zeiterfassung auszutauschen, sondern auch der Europäische Gerichtshof (EuGH). Laut einem Urteil vom 14. Mai 2019 (C-55/18) sind europäische Unternehmen verpflichtet, anhand von Arbeitszeiterfassungssystemen die Arbeitszeit ihrer Mitarbeiter zu protokollieren. Hiermit soll laut EuGH die Wirksamkeit des Unionsrechts gewährleistet werden. Dieses Urteil steht natürlich ebenfalls im Konflikt mit dem digitalen Arbeitsplatz, da agiles & ortsunabhängiges Arbeiten auf einer gewissen Flexibilität der Unternehmen basiert. Denken Sie nur beispielsweise einmal an die Folgen für Mitarbeiter, welche im Home-Office tätig sind. 

Viele Unternehmen sind bereits auf die elektronische Zeiterfassung umgestiegen. Doch was muss eigentlich datenschutzrechtlich beachtet werden? In diesem Beitrag möchten wir Sie umfassend informieren, wie Sie eine elektronische Zeiterfassung datenschutzkonform in Ihrem Unternehmen einführen können.

 

Ist die digitale Zeiterfassung datenschutzkonform?

Bei der Zeiterfassung handelt es sich um ein personenbezogenes Datum, weshalb die Zeiterfassungssoftware vor Hackerangriffen sowie Diebstählen geschützt werden muss. Zudem müssen die Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO eingehalten werden. So gilt für Zeiterfassungsdaten gem. Art. 5 Abs. 1 lit. b) DSGVO, dass diese nur in einem Zeitraum verarbeitet werden dürfen, in dem sie den vorgesehenen Zweck erfüllen. Im Rahmen der Zeiterfassung dürfen alle relevanten Daten erfasst werden. Dazu gehören Personalnummer, Name, Beginn und Ende der Arbeitszeit sowie Urlaubs- und Krankentage. 

Die Vorteile für Unternehmen könnten kaum offensichtlicher sein. Durch den Einsatz von Chipkarten, Transpondern oder Apps wird die erfasste Zeit effizient in den Prozess der Gehaltsabrechnung implementiert. Und genau aus diesem Vorteil ergibt sich für die Unternehmen das berechtigte Interesse – gemäß Artikel 6 Abs. 1 lit. f) DSGVO – eine digitale Zeiterfassung einzuführen. Ein möglicher Konflikt mit den Persönlichkeitsrechten der Arbeitnehmer scheint nur selten gegeben, da die Arbeitnehmer ebenfalls sehr stark von der digitalen Zeiterfassung profitieren. Die Dokumentation für Überstunden erfolgt nun effizient und transparent, sodass die Vergütung von Überstunden in der Regel einfacher geltend gemacht werden kann.

Eine weitere Rechtsgrundlage im Datenschutz für die digitale Zeiterfassung ist der § 26 Abs. 1 BDSG. Denn in der Regel ist die Zeiterfassung zur Durchführung des Beschäftigungsverhältnisses erforderlich. Hierbei ist immer die datenschutzrechtliche Gratwanderung zu beachten zwischen erforderlichen Daten und nicht erforderlichen Daten bei der Verarbeitung. Beispielsweise sollten keine Verhaltensüberwachung durch den Arbeitgeber möglich sein, somit sind Bewegungsprofile von Arbeitnehmern zu vermeiden. 

Wichtig ist, dass das Zeiterfassungs-Tool vor Hackerangriffen und Diebstahl geschützt wird. 

Zeiterfassung von biometrischen Daten

Spannend wird es dann, wenn zur Authentifizierung der Mitarbeiter biometrische Daten verwendet werden, wie der Fingerabdruck, der Gesichts- oder Iris-Scan und weitere besonders personenbezogene Daten gem. Artikel 9 Abs. 1 DSGVO. Hierzu muss jedes Unternehmen eine wirksame Rechtsgrundlage im Sinne des Artikel 6 Abs. 1 DSGVO nachweisen können.

Der Vorteil bei der Nutzung von biometrischen Daten für die Zeiterfassung ist, dass diese über eine hohe Praktikabilität verfügen. Im Gegensatz zu Chipkarten etc. können sie nicht verloren gehen oder vertauscht werden, weshalb sie für die Zeiterfassung sehr sicher sind. 

Die Verarbeitung von besonders personenbezogenen Daten kann gemäß § 26 Abs. 3 BDSG  für Zwecke des Beschäftigungsverhältnisses zulässig sein. Hier werden allerdings nur Zwecke wie die Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes als angemessen angesehen. Allerdings ist für die Zeiterfassung im Beschäftigungsverhältnis das Verarbeiten von biometrischen Daten gerade nicht erforderlich. So gibt es mildere Mittel, die für die Zeiterfassung eingesetzt werden können. Eine Zeiterfassung durch die Verarbeitung von biometrischen Daten ist somit regelmäßig nur mit einer Einwilligung durch den Arbeitnehmer möglich. Eine Ausnahme greift für die Zeiterfassung an Orten, wo eine biometrische Zeiterfassung notwendig sein kann, wie in Chemielaboren oder bei Tresoren. Hier muss vorher eine Einzelfallbeurteilung vorgenommen werden.

Einwilligung für die digitale Zeiterfassung?

Wie bereits im vorangehenden Abschnitt beschrieben, greift weder das berechtigte Interesse aus Artikel 6 Abs. 1 lit. f) DSGVO noch der § 26 Abs. 3 BDSG bei der Verarbeitung von besonderen personenbezogenen Daten im Zusammenhang mit der Authentifizierung von Arbeitnehmern in einem Zeiterfassungssystem. 

Somit bleibt den Unternehmen dennoch eine weitere Rechtsgrundlage: die Einwilligung. Hierbei sind die strengen Bedingungen aus Artikel 7 DSGVO zu beachten. Für eine rechtswirksame Einwilligung ist insbesondere die Freiwilligkeit zu berücksichtigen. Diese kann durchaus in einem Beschäftigungsverhältnis infrage gestellt werden, sodass Sie sich definitiv eine individuelle Beratung durch einen Datenschutzbeauftragten 

einholen sollten. Zudem werden erfahrungsgemäß einige Fehler bei der Erstellung der Einwilligungserklärung gemacht, welche dann wiederum zur Unwirksamkeit führen.

Methoden zur Arbeitszeiterfassung

Um die Arbeitszeit der Beschäftigten zu erfassen, gibt es viele Methoden, die jeweils ihre Vor- und Nachteile haben. Sie reichen von Excel-Listen und Zeiterfassungssoftware über Zeiterfassung per Fingerabdruck bis hin zu GPS Tracking. Auch die Zeiterfassung per Videoüberwachung oder Computerüberwachung ist denkbar, allerdings stellt diese einen Einschnitt in das Persönlichkeitsrecht dar und ist somit nur in bestimmten Fällen erlaubt. Eine Überwachung des Telefons hingegen ist gänzlich verboten.

 
Datenschutz-Managementsystem
Datenschutz-Management-System

+ über 200 Vorlagen
+ Maßnahmen- & Aufgabensteuerung
+ Export in Word- & PDF-Format
+ Mandantenfähig
+ Automatisierte Prozesse

Informieren Sie sich über den Einsatz eines Datenschutz-Management-Systems (DSMS), damit Sie das Thema Datenschutz noch effizienter gestalten können.

Risk Assessment Datenschutz-Portal

Wie lange dürfen Daten gespeichert werden?

Wichtig zu beachten für Unternehmen ist, dass personenbezogene Daten nicht ewig gespeichert werden dürfen, sondern gelöscht werden müssen. Datenschutzrechtlich gilt der Grundsatz der Datenminimierung, daher sollten alle personenbezogenen Daten nach Zweckentfall gelöscht werden. Hierzu sollte natürlich vorerst der Zweck zur Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten dokumentiert sein.  

Um die Speicherdauer von personenbezogenen Daten im Zeiterfassungssystem konkreter zu benennen, sollte man den § 16 Abs. 2 ArbZG heranziehen. So heißt es, dass die über die werktägliche Arbeitszeit hinausgehende Arbeitszeit (Überstunden) für zwei Jahre zu speichern ist. Weitere Aufbewahrungsfristen können sich aus steuerrechtlichen Normen ergeben, wie zum Beispiel die Bruttolohnlisten gemäß § 147 Abs. 1 Nr. 2, Abs. 3 AO für sechs Jahre.

Um den Anforderungen der DSGVO und weiteren arbeitsrechtlichen Normen gerecht zu werden, sollte daher ein ausführliches Löschkonzept erstellt werden. Hierbei ist in jedem Fall zu berücksichtigen, dass personenbezogene Daten nicht länger als nötig gespeichert werden dürfen, vergleiche Erwägungsgrund 39 S. 8 und S. 10. Datenverluste und unberechtigte Nutzung von personenbezogenen Daten sollen durch die Speicherbegrenzung gem. Artikel 5 Abs. 1 lit. e) DSGVO verhindert werden und das Recht auf Vergessenwerden aufseiten der betroffenen Person gewahrt bleiben. Für die datenschutzkonforme Erstellung eines Löschkonzeptes ist eine professionelle Hilfe durch einen Datenschutzbeauftragten essenziell.

 

Datenschutzkonforme Lösungen für die Zeiterfassung

Durch unsere Erfahrung und die Zusammenarbeit mit hunderten Unternehmen kommen wir immer wieder in Kontakt mit Dienstleistern aus dem Bereich der digitalen Zeiterfassung. Hierbei nehmen wir immer wieder sehr unterschiedliche Arbeitsfortschritte der Dienstleister im Bereich Datenschutz wahr. Dennoch gibt es zahlreiche Dienstleister, welche sich sehr um das Thema Datenschutz bemühen und die Umsetzung der Datenschutz-Grundverordnung als Wettbewerbsvorteil verstanden haben. Gerne fassen wir Ihnen die von uns geprüften Dienstleister zusammen.

DSGVO Zeiterfassung

TimeTac GmbH

TimeTac bietet Ihnen webbasierte und mobile Zeiterfassungssysteme. Das Angebot umfasst anpassbare Lösungen zur Arbeitszeiterfassung, Projektzeiterfassung, Urlaubsverwaltung und Personaleinsatzplanung. Alle Module können Sie beliebig kombinieren und perfekt an die Anforderungen und bestehenden Prozesse in Ihrem Unternehmen anpassen. Die Zeiterfassung von TimeTac eignet sich für alle Branchen und Unternehmensgrößen.

ISO27001 zertifiziert

Serverstandort in der Europäischen Union

Rollen- und Berechtigungskonzept

Geprüfter Certified Cloud-Anbieter

Löschfristen konfigurierbar

Auftragsverarbeitungs-Vertrag

Zeiterfassung DSGVO

ATOSS Software AG

Die ATOSS Software AG ist Anbieter von Technologie- und Beratungslösungen für ein professionelles Workforce Management. Ob klassische Zeitwirtschaft, intuitive Self Services, mobile App, präzise Personalbedarfsermittlung, anspruchsvolle Einsatzplanung oder strategische Kapazitäts- und Bedarfsplanung, ATOSS hat die passende Lösung.  In der Cloud oder On Premises. ATOSS Workforce Management Lösungen leisten bei mehr als 8.000 Unternehmen in 42 Ländern einen messbaren Beitrag zu mehr Wertschöpfung, Wettbewerbsfähigkeit und Mitarbeiterzufriedenheit.

Rollen- und Berechtigungskonzept

Löschfristen konfigurierbar

Serverstandort in der Europäischen Union

Auftragsverarbeitungs-Vertrag

ISO27001 zertifiziert

Datenschutz Zeiterfassung

clockin GmbH

Die clockin GmbH ist ein innovatives Unternehmen aus dem Münsterland. clockin gewann im November 2017 den Preis des NRW Wirtschaftsministeriums in der Kategorie Mittelstand. Die Idee zu clockin stammt aus einem klassischen Handwerksbetrieb und wurde dementsprechend praxisnah entwickelt. Die Bedienung ist selbsterklärend, so dass keine Schulungen notwendig sind. clockin bietet Unternehmen digitale Zeiterfassung per App, digitale Dokumentation zu verschiedenen Aufträgen und dessen automatische Verwaltung.

ISO27001 zertifiziert

Rollen- und Berechtigungskonzept

Serverstandort in Münster (Westfalen)

Löschfristen konfigurierbar

Auftragsverarbeitungs-Vertrag

 

Betriebsrat und die elektronische Zeiterfassung 

Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, welche dazu geeignet sind, Verhalten oder Leistungen der Arbeitnehmer potenziell zu überwachen. In der Theorie trifft eine potenzielle Arbeitgeber-Überwachung auch auf die digitale Zeiterfassung zu. Der Betriebsrat und der Arbeitgeber sollten eine Betriebsvereinbarung mit mindestens den folgenden Inhalten vereinbaren:

  • Art der gespeicherten Daten
  • Zwecke für die Zeiterfassung
  • Zugriffsrechte der Zeiterfassung
  • Auswertungen der Zeiterfassungen
  • GPS-Ortung bei digitaler Zeiterfassung
 

Zeiterfassung Datenschutz-Folgenabschätzung

Sollte es bei der Einführung eines Zeiterfassungssystems zu datenschutzrechtlichen Schwierigkeit mit biometrischen Daten kommen, so ist definitiv die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO erforderlich. Die Datenschutz-Folgenabschätzung ist der Nachfolger der Vorabkontrolle aus dem alten BDSG. Die Datenschutz-Folgenabschätzung bei der Zeiterfassung muss jedenfalls stets im Voraus des Einsatzes durchgeführt werden. 

Für die Datenschutz-Folgenabschätzung ist grundsätzlich der Arbeitgeber verantwortlich, dennoch ist der Arbeitgeber verpflichtet den Rat des Datenschutzbeauftragten einzuholen. Die Datenschutz-Folgenabschätzung ist eine Abwägung der Risiken für die Rechte und Freiheiten der Arbeitnehmer. 

Artikel 35 Abs. 7 DSGVO beinhaltet für die Durchführung der DSFA vom Verantwortlichen zwingend einzuhaltende Voraussetzungen. Die DSFA dient hierzu nicht nur der Risikobewertung von Verarbeitungen, sondern muss überdies auch gemäß der Rechenschaftspflicht vgl. Artikel 5 Abs. 2 DSGVO dokumentiert werden. Die DSFA eines Zeiterfassungssystems muss insbesondere eine systematische Beschreibung der geplanten Zeiterfassung gem. Artikel 35 Abs. 7 lit. a) DSGVO enthalten. Des Weiteren muss die Notwendigkeit und Verhältnismäßigkeit der Zeiterfassung in Bezug auf den jeweiligen Zweck bewertet werden, lit. b) DSGVO. Zudem muss eine Risikobewertung für die Rechte und Freiheiten der Beschäftigten stattfinden, gem. lit. c) DSGVO. Außerdem müssen gem. lit. d) DSGVO Maßnahmen zur Bewältigung der Risiken getroffen werden, beispielsweise durch Garantien, Sicherheitsvorkehrungen und Nachweise über den Einhalt der Datenschutz-Grundverordnung.   

An dieser Stelle sollte sich jeder Verantwortliche die Frage stellen, ob diese Voraussetzungen ausnahmslos erfüllt wurden, bevor die Zeiterfassung durchgeführt wird.

 

FAQ

Menü