Datenschutz verstehen – Zeiterfassung und Datenschutz
Nicht nur die Vorteile der elektronischen Zeiterfassung bringen zahlreiche Unternehmen dazu ihre alte Zeiterfassung auszutauschen, sondern auch der Europäische Gerichtshof (EuGH). Laut dem am 14. Mai 2019 (C-55/18) beschlossenen Urteil, sind europäische Unternehmen verpflichtet, anhand von Arbeitszeiterfassungsystemen die Arbeitszeit ihrer Mitarbeiter zu protokollieren. Hiermit soll laut EuGH die Wirksamkeit des Unionsrechts gewährleistet werden. Dieses Urteil steht natürlich ebenfalls im Konflikt mit dem digitalen Arbeitsplatz. Denn agiles & ortsunabhängiges Arbeiten basiert auf einer gewissen Flexibilität der Unternehmen. Denken Sie nur beispielsweise einmal an die Folgen für Mitarbeiter, welche im Home-Office tätig sind.
Viele Unternehmen sind bereits auf die elektronische Zeiterfassung umgestiegen. Doch was muss eigentlich datenschutzrechtlich beachtet werden? In diesem Beitrag möchten wir Sie umfassend informieren, wie Sie eine elektronische Zeiterfassung datenschutzkonform in Ihrem Unternehmen einführen können.
Ist die digitale Zeiterfassung datenschutzkonform?
Die Vorteile für Unternehmen könnten kaum offensichtlicher scheinen. Durch den Einsatz von Chipkarten, Transpondern oder Apps wird die erfasste Zeit effizient in den Prozess der Gehaltsabrechnung implementiert. Und genau aus diesen Vorteilen ergibt sich für die Unternehmen das berechtigte Interesse eine digitale Zeiterfassung einzuführen gemäß Artikel 6 Abs. 1 lit. f) DSGVO. Ein möglicher Konflikt mit den Persönlichkeitsrechten der Arbeitnehmer scheint nur selten gegeben, da die Arbeitnehmer ebenfalls sehr stark von der digitalen Zeiterfassung profitieren. Die Dokumentation für Überstunden erfolgt nun effizient und transparent, sodass die Vergütung von Überstunden in der Regel einfacher geltend gemacht werden kann.
Eine weitere Rechtsgrundlage im Datenschutz für die digitale Zeiterfassung ist der § 26 Abs. 1 BDSG. Denn in der Regel ist die Zeiterfassung zur Durchführung des Beschäftigungsverhältnisses erforderlich. Hierbei ist immer die datenschutzrechtliche Gratwanderung zu beachten zwischen erforderlichen Daten und nicht erforderlichen Daten bei der Verarbeitung. Beispielsweise sollten keine Verhaltensüberwachung durch den Arbeitgeber möglich sein, somit sind Bewegungsprofile von Arbeitnehmer zu vermeiden.
Spannend wird es dann wenn zur Authentifizierung der Mitarbeiter biometrische Daten verwendet werden wie der Fingerabdruck, der Gesichts- oder Iris-Scan und weitere besonders personenbezogene Daten gem. Artikel 9 Abs. 1 DSGVO. Hierzu muss jedes Unternehmen eine wirksame Rechtsgrundlage im Sinne des Artikel 6 Abs. 1 DSGVO.
Die Verarbeitung von besonders personenbezogenen Daten kann gemäß § 26 Abs. 3 BDSG für Zwecke des Beschäftigungsverhältnisses zulässig sein. Hier werden allerdings nur Zwecke wie die Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes als angemessene Zwecke angesehen.
Einwilligung für die digitale Zeiterfassung?
Wie bereits im obenstehenden Abschnitt beschrieben, greift weder das berechtigte Interesse aus Artikel 6 Abs. 1 lit. f) DSGVO noch der § 26 Abs. 3 BDSG bei der Verarbeitung von besonderen personenbezogenen Daten im Zusammenhang mit der Authentifizierung von Arbeitnehmern in einem Zeiterfassungssystem.
Somit bleibt den Unternehmen eine weitere Rechtsgrundlage: Die Einwilligung. Hierbei sind die strengen Bedingungen aus Artikel 7 DSGVO zu beachten. Die Freiwilligkeit einer solchen Einwilligung kann durchaus in Frage gestellt werden, sodass Sie sich definitiv eine individuelle Beratung durch einen Datenschutzbeauftragten einholen sollten.
Wie lange dürfen Daten gespeichert werden?
Datenschutzrechtlich gilt der Grundsatz der Datenminimierung, daher sollten alle personenbezogenen Daten nach Zweckentfall gelöscht werden. Hierzu sollte natürlich vorerst der Zweck zur Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten dokumentiert sein.
Um konkreter die Speicherdauer von personenbezogenen Daten im Zeiterfassungssystem zu benennen, sollte man den § 16 Abs. 2 ArbZG heranziehen. So heißt es, dass die über die werktägliche Arbeitszeit hinausgehende Arbeitszeit (Überstunden) für zwei Jahre zu speichern ist. Weitere Aufbewahrungsfristen können sich aus steuerrechtlichen Normen ergeben, wie zum Beispiel die Bruttolohnlisten gemäß § 147 Abs. 1 Nr. 2, Abs. 3 AO für sechs Jahre.
Datenschutzkonforme Lösungen für die Zeiterfassung
Durch unsere Erfahrung aus hunderten Unternehmen kommen wir immer wieder in Kontakt mit Dienstleistern aus dem Bereich der digitalen Zeiterfassung. Hierbei nehmen wir immer wieder sehr unterschiedliche Arbeitsfortschritte der Dienstleister im Bereich Datenschutz wahr. Dennoch gibt es zahlreiche Dienstleister, welche sich sehr um das Thema Datenschutz bemühen und die Umsetzung der Datenschutz-Grundverordnung als Wettbewerbsvorteil verstanden haben. Gerne fassen wir Ihnen die von uns geprüften Dienstleister zusammen.
TimeTac GmbH
TimeTac bietet Ihnen webbasierte und mobile Zeiterfassungssysteme. Das Angebot umfasst anpassbare Lösungen zur Arbeitszeiterfassung, Projektzeiterfassung, Urlaubsverwaltung und Personaleinsatzplanung. Alle Module können Sie beliebig kombinieren und perfekt an die Anforderungen und bestehenden Prozesse in Ihrem Unternehmen anpassen. Die Zeiterfassung von TimeTac eignet sich für alle Branchen und Unternehmensgrößen.
ATOSS Software AG
Die ATOSS Software AG ist Anbieter von Technologie- und Beratungslösungen für ein professionelles Workforce Management. Ob klassische Zeitwirtschaft, intuitive Self Services, mobile App, präzise Personalbedarfsermittlung, anspruchsvolle Einsatzplanung oder strategische Kapazitäts- und Bedarfsplanung, ATOSS hat die passende Lösung. In der Cloud oder On Premises. ATOSS Workforce Management Lösungen leisten bei mehr als 6.500 Unternehmen in mehr als 40 Ländern einen messbaren Beitrag zu mehr Wertschöpfung, Wettbewerbsfähigkeit und Mitarbeiterzufriedenheit.
clockin GmbH
Die clockin GmbH ist ein innovatives Unternehmen aus dem Münsterland. clockin gewann im November 2017 den Preis des NRW Wirtschaftsministeriums in der Kategorie Mittelstand. Die Idee zu clockin stammt aus einem klassischen Handwerksbetrieb und wurde dementsprechend praxisnah entwickelt. Die Bedienung ist selbsterklärend, so dass keine Schulungen notwendig sind. clockin bietet Unternehmen digitale Zeiterfassung per App, digitale Dokumentation zu verschiedenen Aufträgen und dessen automatische Verwaltung.
Betriebsrat und die elektronische Zeiterfassung
Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, welche dazu geeignet sind, Verhalten oder Leistungen der Arbeitnehmer potenziell zu überwachen. In der Theorie trifft eine potenzielle Arbeitgeber-Überwachung auch auf die digitale Zeiterfassung zu. Der Betriebsrat und der Arbeitgeber sollten eine Betriebsvereinbarung mit mindestens den folgenden Inhalten vereinbaren:
- Art der gespeicherten Daten
- Zwecke für die Zeiterfassung
- Zugriffsrechte der Zeiterfassung
- Auswertungen der Zeiterfassungen
- GPS-Ortung bei digitaler Zeiterfassung
Zeiterfassung Datenschutz-Folgenabschätzung
Sollte man bei der Einführung einen Zeiterfassungssystems zur datenschutzrechtlichen Schwierigkeit mit biometrischen Daten kommen, so ist definitiv die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO erforderlich. Die Datenschutz-Folgenabschätzung ist der Nachfolger der Vorabkontrolle aus dem alten BDSG, die Datenschutz-Folgenabschätzung bei der Zeiterfassung muss jedenfalls immer im Voraus durchgeführt werden.
Für die Datenschutz-Folgenabschätzung ist grundsätzlich der Arbeitgeber verantwortlich, dennoch ist der Arbeitgeber verpflichtet den Rat des Datenschutzbeauftragten einzuholen. Die Datenschutz-Folgenabschätzung ist eine Abwägung der Risiken für die Rechte und Freiheiten der Arbeitnehmer.
Autor
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig.
