Datenschutz verstehen – Zeiterfassung und Datenschutz
Nicht nur die Vorteile der elektronischen Zeiterfassung bringen zahlreiche Unternehmen dazu ihre alte Zeiterfassung auszutauschen, sondern auch der Europäische Gerichtshof (EuGH). Laut dem am 14. Mai 2019 (C-55/18) beschlossenen Urteil, sind europäische Unternehmen verpflichtet, anhand von Arbeitszeiterfassungsystemen die Arbeitszeit ihrer Mitarbeiter zu protokollieren. Hiermit soll laut EuGH die Wirksamkeit des Unionsrechts gewährleistet werden. Dieses Urteil steht natürlich ebenfalls im Konflikt mit dem digitalen Arbeitsplatz. Denn agiles & ortsunabhängiges Arbeiten basiert auf einer gewissen Flexibilität der Unternehmen. Denken Sie nur beispielsweise einmal an die Folgen für Mitarbeiter, welche im Home-Office tätig sind.
Viele Unternehmen sind bereits auf die elektronische Zeiterfassung umgestiegen. Doch was muss eigentlich datenschutzrechtlich beachtet werden? In diesem Beitrag möchten wir Sie umfassend informieren, wie Sie eine elektronische Zeiterfassung datenschutzkonform in Ihrem Unternehmen einführen können.
Ist die digitale Zeiterfassung datenschutzkonform?
Die Vorteile für Unternehmen könnten kaum offensichtlicher scheinen. Durch den Einsatz von Chipkarten, Transpondern oder Apps wird die erfasste Zeit effizient in den Prozess der Gehaltsabrechnung implementiert. Und genau aus diesem Vorteil ergibt sich für die Unternehmen das berechtigte Interesse eine digitale Zeiterfassung einzuführen gemäß Artikel 6 Abs. 1 lit. f) DSGVO. Ein möglicher Konflikt mit den Persönlichkeitsrechten der Arbeitnehmer scheint nur selten gegeben, da die Arbeitnehmer ebenfalls sehr stark von der digitalen Zeiterfassung profitieren. Die Dokumentation für Überstunden erfolgt nun effizient und transparent, sodass die Vergütung von Überstunden in der Regel einfacher geltend gemacht werden kann.
Eine weitere Rechtsgrundlage im Datenschutz für die digitale Zeiterfassung ist der § 26 Abs. 1 BDSG. Denn in der Regel ist die Zeiterfassung zur Durchführung des Beschäftigungsverhältnisses erforderlich. Hierbei ist immer die datenschutzrechtliche Gratwanderung zu beachten zwischen erforderlichen Daten und nicht erforderlichen Daten bei der Verarbeitung. Beispielsweise sollten keine Verhaltensüberwachung durch den Arbeitgeber möglich sein, somit sind Bewegungsprofile von Arbeitnehmer zu vermeiden.
Spannend wird es dann, wenn zur Authentifizierung der Mitarbeiter biometrische Daten verwendet werden wie der Fingerabdruck, der Gesichts- oder Iris-Scan und weitere besonders personenbezogene Daten gem. Artikel 9 Abs. 1 DSGVO. Hierzu muss jedes Unternehmen eine wirksame Rechtsgrundlage im Sinne des Artikel 6 Abs. 1 DSGVO nachweisen können.
Die Verarbeitung von besonders personenbezogenen Daten kann gemäß § 26 Abs. 3 BDSG für Zwecke des Beschäftigungsverhältnisses zulässig sein. Hier werden allerdings nur Zwecke wie die Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes als angemessene Zwecke angesehen.
Einwilligung für die digitale Zeiterfassung?
Wie bereits im obenstehenden Abschnitt beschrieben, greift weder das berechtigte Interesse aus Artikel 6 Abs. 1 lit. f) DSGVO noch der § 26 Abs. 3 BDSG bei der Verarbeitung von besonderen personenbezogenen Daten im Zusammenhang mit der Authentifizierung von Arbeitnehmern in einem Zeiterfassungssystem.
Somit bleibt den Unternehmen eine weitere Rechtsgrundlage: Die Einwilligung. Hierbei sind die strengen Bedingungen aus Artikel 7 DSGVO zu beachten. Für eine rechtswirksame Einwilligung ist insbesondere die Freiwilligkeit zu berücksichtigen. Diese kann durchaus in einem Beschäftigungsverhältnis in Frage gestellt werden, sodass Sie sich definitiv eine individuelle Beratung durch einen Datenschutzbeauftragten einholen sollten. Zudem werden erfahrungsgemäß einige Fehler bei der Erstellung der Einwilligungserklärung gemacht, die wiederum zur Unwirksamkeit führen.
Wie lange dürfen Daten gespeichert werden?
Wichtig zu beachten für Unternehmen ist, dass personenbezogene Daten nicht ewig gespeichert werden dürfen, sondern gelöscht werden müssen. Datenschutzrechtlich gilt der Grundsatz der Datenminimierung, daher sollten alle personenbezogenen Daten nach Zweckentfall gelöscht werden. Hierzu sollte natürlich vorerst der Zweck zur Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten dokumentiert sein.
Um konkreter die Speicherdauer von personenbezogenen Daten im Zeiterfassungssystem zu benennen, sollte man den § 16 Abs. 2 ArbZG heranziehen. So heißt es, dass die über die werktägliche Arbeitszeit hinausgehende Arbeitszeit (Überstunden) für zwei Jahre zu speichern ist. Weitere Aufbewahrungsfristen können sich aus steuerrechtlichen Normen ergeben, wie zum Beispiel die Bruttolohnlisten gemäß § 147 Abs. 1 Nr. 2, Abs. 3 AO für sechs Jahre.
Um den Anforderungen der DSGVO und weiteren arbeitsrechtlichen Normen gerecht zu werden, sollte daher ein ausführliches Löschkonzept erstellt werden. Hierbei ist in jedem Fall zu berücksichtigen, dass personenbezogene Daten nicht länger als nötig gespeichert werden dürfen, vergleiche Erwägungsgrund 39 S. 8 und S. 10. Datenverluste und unberechtigte Nutzung von personenbezogenen Daten sollen durch die Speicherbegrenzung gem. Artikel 5 Abs. 1 lit. e) DSGVO verhindert werden und das Recht auf Vergessenwerden aufseiten der betroffenen Person gewahrt bleiben. Für die datenschutzkonforme Erstellung eines Löschkonzeptes, ist eine professionelle Hilfe durch einen Datenschutzbeauftragten essenziell.
Datenschutzkonforme Lösungen für die Zeiterfassung
Durch unsere Erfahrung aus hunderten Unternehmen kommen wir immer wieder in Kontakt mit Dienstleistern aus dem Bereich der digitalen Zeiterfassung. Hierbei nehmen wir immer wieder sehr unterschiedliche Arbeitsfortschritte der Dienstleister im Bereich Datenschutz wahr. Dennoch gibt es zahlreiche Dienstleister, welche sich sehr um das Thema Datenschutz bemühen und die Umsetzung der Datenschutz-Grundverordnung als Wettbewerbsvorteil verstanden haben. Gerne fassen wir Ihnen die von uns geprüften Dienstleister zusammen.

TimeTac GmbH
TimeTac bietet Ihnen webbasierte und mobile Zeiterfassungssysteme. Das Angebot umfasst anpassbare Lösungen zur Arbeitszeiterfassung, Projektzeiterfassung, Urlaubsverwaltung und Personaleinsatzplanung. Alle Module können Sie beliebig kombinieren und perfekt an die Anforderungen und bestehenden Prozesse in Ihrem Unternehmen anpassen. Die Zeiterfassung von TimeTac eignet sich für alle Branchen und Unternehmensgrößen.

ATOSS Software AG
Die ATOSS Software AG ist Anbieter von Technologie- und Beratungslösungen für ein professionelles Workforce Management. Ob klassische Zeitwirtschaft, intuitive Self Services, mobile App, präzise Personalbedarfsermittlung, anspruchsvolle Einsatzplanung oder strategische Kapazitäts- und Bedarfsplanung, ATOSS hat die passende Lösung. In der Cloud oder On Premises. ATOSS Workforce Management Lösungen leisten bei mehr als 8.000 Unternehmen in 42 Ländern einen messbaren Beitrag zu mehr Wertschöpfung, Wettbewerbsfähigkeit und Mitarbeiterzufriedenheit.

clockin GmbH
Die clockin GmbH ist ein innovatives Unternehmen aus dem Münsterland. clockin gewann im November 2017 den Preis des NRW Wirtschaftsministeriums in der Kategorie Mittelstand. Die Idee zu clockin stammt aus einem klassischen Handwerksbetrieb und wurde dementsprechend praxisnah entwickelt. Die Bedienung ist selbsterklärend, so dass keine Schulungen notwendig sind. clockin bietet Unternehmen digitale Zeiterfassung per App, digitale Dokumentation zu verschiedenen Aufträgen und dessen automatische Verwaltung.
Betriebsrat und die elektronische Zeiterfassung
Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, welche dazu geeignet sind, Verhalten oder Leistungen der Arbeitnehmer potenziell zu überwachen. In der Theorie trifft eine potenzielle Arbeitgeber-Überwachung auch auf die digitale Zeiterfassung zu. Der Betriebsrat und der Arbeitgeber sollten eine Betriebsvereinbarung mit mindestens den folgenden Inhalten vereinbaren:
- Art der gespeicherten Daten
- Zwecke für die Zeiterfassung
- Zugriffsrechte der Zeiterfassung
- Auswertungen der Zeiterfassungen
- GPS-Ortung bei digitaler Zeiterfassung
Zeiterfassung Datenschutz-Folgenabschätzung
Sollte es bei der Einführung eines Zeiterfassungssystems zur datenschutzrechtlichen Schwierigkeit mit biometrischen Daten kommen, so ist definitiv die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO erforderlich. Die Datenschutz-Folgenabschätzung ist der Nachfolger der Vorabkontrolle aus dem alten BDSG. Die Datenschutz-Folgenabschätzung bei der Zeiterfassung muss jedenfalls immer im Voraus durchgeführt werden.
Für die Datenschutz-Folgenabschätzung ist grundsätzlich der Arbeitgeber verantwortlich, dennoch ist der Arbeitgeber verpflichtet den Rat des Datenschutzbeauftragten einzuholen. Die Datenschutz-Folgenabschätzung ist eine Abwägung der Risiken für die Rechte und Freiheiten der Arbeitnehmer.
Artikel 35 Abs. 7 DSGVO beinhaltet für die Durchführung der DSFA vom Verantwortlichen zwingend einzuhaltende Voraussetzungen. Die DSFA dient hierzu nicht nur der Risikobewertung von Verarbeitungen, sondern muss überdies auch gemäß der Rechenschaftspflicht vgl. Artikel 5 Abs. 2 DSGVO dokumentiert werden. Eine DSFA für eines Zeiterfassungssystems muss insbesondere eine systematische Beschreibung der geplanten Zeiterfassung gem. Artikel 35 Abs. 7 lit. a) DSGVO enthalten. Des Weiteren muss die Notwendigkeit und Verhältnismäßigkeit der Zeiterfassung in Bezug auf den jeweiligen Zweck bewertet werden, lit. b) DSGVO. Zudem muss eine Risikobewertung für die Rechte und Freiheiten der Beschäftigten stattfinden, gem. lit. c) DSGVO. Außerdem müssen gem. lit. d) DSGVO Maßnahmen zur Bewältigung der Risiken getroffen werden, beispielsweise durch Garantien, Sicherheitsvorkehrungen und Nachweise über den Einhalt der Datenschutz-Grundverordnung.
An dieser Stelle sollte sich jeder Verantwortliche die Frage stellen, ob diese Voraussetzungen ausnahmslos erfüllt wurden, bevor die Zeiterfassung durchgeführt wird.

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
2 Kommentare. Hinterlasse eine Antwort
Wie ist das wenn unsere Gleitzeitbeauftragte anderen Mitarbeitern den Stand meiner Überstunden bekannt gibt. Darf sie das?
Weiterhin erzählt sie in der ganzen Abteilung rum wenn man krank ist was man hat, also den Grund der Erkrankung.
Darf sie das?
Und ich muss mir von Kollegen nach der Rückkehr anhören, dass sie immer wieder sagt. Ist die schon wieder krank, was hat sie denn jetzt schon wieder?!
Und so was ist in unserer Abteilung die Gleitzeitbeauftragte.
Danke für Ihre Rückmeldung.
Vielen Dank für Ihre Fragen. Natürlich muss eine Gleitzeitbeauftragte den Datenschutz bei der Zeiterfassung einhalten. Gerade in Bezug auf die Veröffentlichung von Anwesenheiten der Mitarbeiter gilt es einiges zu beachten. Gerne beraten wir Sie persönlich zu diesem Thema.
Liebe Grüße
Nils Möllers