Datenschutz verstehen – Zeiterfassung und Datenschutz
Nicht nur die Vorteile der elektronischen Zeiterfassung bringen zahlreiche Unternehmen dazu, ihre alte Zeiterfassung auszutauschen, sondern auch der Europäische Gerichtshof (EuGH). Laut einem Urteil vom 14. Mai 2019 (C-55/18) sind europäische Unternehmen verpflichtet, anhand von Arbeitszeiterfassungssystemen die Arbeitszeit ihrer Mitarbeiter zu protokollieren. Hiermit soll laut EuGH die Wirksamkeit des Unionsrechts gewährleistet werden. Dieses Urteil steht natürlich ebenfalls im Konflikt mit dem digitalen Arbeitsplatz, da agiles & ortsunabhängiges Arbeiten auf einer gewissen Flexibilität der Unternehmen basiert. Denken Sie nur beispielsweise einmal an die Folgen für Mitarbeiter, welche im Home-Office tätig sind.
Viele Unternehmen sind bereits auf die elektronische Zeiterfassung umgestiegen. Doch was muss eigentlich datenschutzrechtlich beachtet werden? In diesem Beitrag möchten wir Sie umfassend informieren, wie Sie eine elektronische Zeiterfassung datenschutzkonform in Ihrem Unternehmen einführen können.
Ist die digitale Zeiterfassung datenschutzkonform?
Bei der Zeiterfassung handelt es sich um ein personenbezogenes Datum, weshalb die Zeiterfassungssoftware vor Hackerangriffen sowie Diebstählen geschützt werden muss. Zudem müssen die Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO eingehalten werden. So gilt für Zeiterfassungsdaten gem. Art. 5 Abs. 1 lit. b) DSGVO, dass diese nur in einem Zeitraum verarbeitet werden dürfen, in dem sie den vorgesehenen Zweck erfüllen. Im Rahmen der Zeiterfassung dürfen alle relevanten Daten erfasst werden. Dazu gehören Personalnummer, Name, Beginn und Ende der Arbeitszeit sowie Urlaubs- und Krankentage.
Die Vorteile für Unternehmen könnten kaum offensichtlicher sein. Durch den Einsatz von Chipkarten, Transpondern oder Apps wird die erfasste Zeit effizient in den Prozess der Gehaltsabrechnung implementiert. Und genau aus diesem Vorteil ergibt sich für die Unternehmen das berechtigte Interesse – gemäß Artikel 6 Abs. 1 lit. f) DSGVO – eine digitale Zeiterfassung einzuführen. Ein möglicher Konflikt mit den Persönlichkeitsrechten der Arbeitnehmer scheint nur selten gegeben, da die Arbeitnehmer ebenfalls sehr stark von der digitalen Zeiterfassung profitieren. Die Dokumentation für Überstunden erfolgt nun effizient und transparent, sodass die Vergütung von Überstunden in der Regel einfacher geltend gemacht werden kann.
Eine weitere Rechtsgrundlage im Datenschutz für die digitale Zeiterfassung ist der § 26 Abs. 1 BDSG. Denn in der Regel ist die Zeiterfassung zur Durchführung des Beschäftigungsverhältnisses erforderlich. Hierbei ist immer die datenschutzrechtliche Gratwanderung zu beachten zwischen erforderlichen Daten und nicht erforderlichen Daten bei der Verarbeitung. Beispielsweise sollten keine Verhaltensüberwachung durch den Arbeitgeber möglich sein, somit sind Bewegungsprofile von Arbeitnehmern zu vermeiden.
Wichtig ist, dass das Zeiterfassungs-Tool vor Hackerangriffen und Diebstahl geschützt wird.
Zeiterfassung von biometrischen Daten
Spannend wird es dann, wenn zur Authentifizierung der Mitarbeiter biometrische Daten verwendet werden, wie der Fingerabdruck, der Gesichts- oder Iris-Scan und weitere besonders personenbezogene Daten gem. Artikel 9 Abs. 1 DSGVO. Hierzu muss jedes Unternehmen eine wirksame Rechtsgrundlage im Sinne des Artikel 6 Abs. 1 DSGVO nachweisen können.
Der Vorteil bei der Nutzung von biometrischen Daten für die Zeiterfassung ist, dass diese über eine hohe Praktikabilität verfügen. Im Gegensatz zu Chipkarten etc. können sie nicht verloren gehen oder vertauscht werden, weshalb sie für die Zeiterfassung sehr sicher sind.
Die Verarbeitung von besonders personenbezogenen Daten kann gemäß § 26 Abs. 3 BDSG für Zwecke des Beschäftigungsverhältnisses zulässig sein. Hier werden allerdings nur Zwecke wie die Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes als angemessen angesehen. Allerdings ist für die Zeiterfassung im Beschäftigungsverhältnis das Verarbeiten von biometrischen Daten gerade nicht erforderlich. So gibt es mildere Mittel, die für die Zeiterfassung eingesetzt werden können. Eine Zeiterfassung durch die Verarbeitung von biometrischen Daten ist somit regelmäßig nur mit einer Einwilligung durch den Arbeitnehmer möglich. Eine Ausnahme greift für die Zeiterfassung an Orten, wo eine biometrische Zeiterfassung notwendig sein kann, wie in Chemielaboren oder bei Tresoren. Hier muss vorher eine Einzelfallbeurteilung vorgenommen werden.
Einwilligung für die digitale Zeiterfassung?
Wie bereits im vorangehenden Abschnitt beschrieben, greift weder das berechtigte Interesse aus Artikel 6 Abs. 1 lit. f) DSGVO noch der § 26 Abs. 3 BDSG bei der Verarbeitung von besonderen personenbezogenen Daten im Zusammenhang mit der Authentifizierung von Arbeitnehmern in einem Zeiterfassungssystem.
Somit bleibt den Unternehmen dennoch eine weitere Rechtsgrundlage: die Einwilligung. Hierbei sind die strengen Bedingungen aus Artikel 7 DSGVO zu beachten. Für eine rechtswirksame Einwilligung ist insbesondere die Freiwilligkeit zu berücksichtigen. Diese kann durchaus in einem Beschäftigungsverhältnis infrage gestellt werden, sodass Sie sich definitiv eine individuelle Beratung durch einen Datenschutzbeauftragten
einholen sollten. Zudem werden erfahrungsgemäß einige Fehler bei der Erstellung der Einwilligungserklärung gemacht, welche dann wiederum zur Unwirksamkeit führen.
Methoden zur Arbeitszeiterfassung
Um die Arbeitszeit der Beschäftigten zu erfassen, gibt es viele Methoden, die jeweils ihre Vor- und Nachteile haben. Sie reichen von Excel-Listen und Zeiterfassungssoftware über Zeiterfassung per Fingerabdruck bis hin zu GPS Tracking. Auch die Zeiterfassung per Videoüberwachung oder Computerüberwachung ist denkbar, allerdings stellt diese einen Einschnitt in das Persönlichkeitsrecht dar und ist somit nur in bestimmten Fällen erlaubt. Eine Überwachung des Telefons hingegen ist gänzlich verboten.
Wie lange dürfen Daten gespeichert werden?
Wichtig zu beachten für Unternehmen ist, dass personenbezogene Daten nicht ewig gespeichert werden dürfen, sondern gelöscht werden müssen. Datenschutzrechtlich gilt der Grundsatz der Datenminimierung, daher sollten alle personenbezogenen Daten nach Zweckentfall gelöscht werden. Hierzu sollte natürlich vorerst der Zweck zur Verarbeitung im Verzeichnis der Verarbeitungstätigkeiten dokumentiert sein.
Um die Speicherdauer von personenbezogenen Daten im Zeiterfassungssystem konkreter zu benennen, sollte man den § 16 Abs. 2 ArbZG heranziehen. So heißt es, dass die über die werktägliche Arbeitszeit hinausgehende Arbeitszeit (Überstunden) für zwei Jahre zu speichern ist. Weitere Aufbewahrungsfristen können sich aus steuerrechtlichen Normen ergeben, wie zum Beispiel die Bruttolohnlisten gemäß § 147 Abs. 1 Nr. 2, Abs. 3 AO für sechs Jahre.
Um den Anforderungen der DSGVO und weiteren arbeitsrechtlichen Normen gerecht zu werden, sollte daher ein ausführliches Löschkonzept erstellt werden. Hierbei ist in jedem Fall zu berücksichtigen, dass personenbezogene Daten nicht länger als nötig gespeichert werden dürfen, vergleiche Erwägungsgrund 39 S. 8 und S. 10. Datenverluste und unberechtigte Nutzung von personenbezogenen Daten sollen durch die Speicherbegrenzung gem. Artikel 5 Abs. 1 lit. e) DSGVO verhindert werden und das Recht auf Vergessenwerden aufseiten der betroffenen Person gewahrt bleiben. Für die datenschutzkonforme Erstellung eines Löschkonzeptes ist eine professionelle Hilfe durch einen Datenschutzbeauftragten essenziell.
Datenschutzkonforme Lösungen für die Zeiterfassung
Durch unsere Erfahrung und die Zusammenarbeit mit hunderten Unternehmen kommen wir immer wieder in Kontakt mit Dienstleistern aus dem Bereich der digitalen Zeiterfassung. Hierbei nehmen wir immer wieder sehr unterschiedliche Arbeitsfortschritte der Dienstleister im Bereich Datenschutz wahr. Dennoch gibt es zahlreiche Dienstleister, welche sich sehr um das Thema Datenschutz bemühen und die Umsetzung der Datenschutz-Grundverordnung als Wettbewerbsvorteil verstanden haben. Gerne fassen wir Ihnen die von uns geprüften Dienstleister zusammen.
TimeTac GmbH
TimeTac bietet Ihnen webbasierte und mobile Zeiterfassungssysteme. Das Angebot umfasst anpassbare Lösungen zur Arbeitszeiterfassung, Projektzeiterfassung, Urlaubsverwaltung und Personaleinsatzplanung. Alle Module können Sie beliebig kombinieren und perfekt an die Anforderungen und bestehenden Prozesse in Ihrem Unternehmen anpassen. Die Zeiterfassung von TimeTac eignet sich für alle Branchen und Unternehmensgrößen.
ATOSS Software AG
Die ATOSS Software AG ist Anbieter von Technologie- und Beratungslösungen für ein professionelles Workforce Management. Ob klassische Zeitwirtschaft, intuitive Self Services, mobile App, präzise Personalbedarfsermittlung, anspruchsvolle Einsatzplanung oder strategische Kapazitäts- und Bedarfsplanung, ATOSS hat die passende Lösung. In der Cloud oder On Premises. ATOSS Workforce Management Lösungen leisten bei mehr als 8.000 Unternehmen in 42 Ländern einen messbaren Beitrag zu mehr Wertschöpfung, Wettbewerbsfähigkeit und Mitarbeiterzufriedenheit.
clockin GmbH
Die clockin GmbH ist ein innovatives Unternehmen aus dem Münsterland. clockin gewann im November 2017 den Preis des NRW Wirtschaftsministeriums in der Kategorie Mittelstand. Die Idee zu clockin stammt aus einem klassischen Handwerksbetrieb und wurde dementsprechend praxisnah entwickelt. Die Bedienung ist selbsterklärend, so dass keine Schulungen notwendig sind. clockin bietet Unternehmen digitale Zeiterfassung per App, digitale Dokumentation zu verschiedenen Aufträgen und dessen automatische Verwaltung.
Betriebsrat und die elektronische Zeiterfassung
Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, welche dazu geeignet sind, Verhalten oder Leistungen der Arbeitnehmer potenziell zu überwachen. In der Theorie trifft eine potenzielle Arbeitgeber-Überwachung auch auf die digitale Zeiterfassung zu. Der Betriebsrat und der Arbeitgeber sollten eine Betriebsvereinbarung mit mindestens den folgenden Inhalten vereinbaren:
- Art der gespeicherten Daten
- Zwecke für die Zeiterfassung
- Zugriffsrechte der Zeiterfassung
- Auswertungen der Zeiterfassungen
- GPS-Ortung bei digitaler Zeiterfassung
Zeiterfassung Datenschutz-Folgenabschätzung
Sollte es bei der Einführung eines Zeiterfassungssystems zu datenschutzrechtlichen Schwierigkeit mit biometrischen Daten kommen, so ist definitiv die Durchführung einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO erforderlich. Die Datenschutz-Folgenabschätzung ist der Nachfolger der Vorabkontrolle aus dem alten BDSG. Die Datenschutz-Folgenabschätzung bei der Zeiterfassung muss jedenfalls stets im Voraus des Einsatzes durchgeführt werden.
Für die Datenschutz-Folgenabschätzung ist grundsätzlich der Arbeitgeber verantwortlich, dennoch ist der Arbeitgeber verpflichtet den Rat des Datenschutzbeauftragten einzuholen. Die Datenschutz-Folgenabschätzung ist eine Abwägung der Risiken für die Rechte und Freiheiten der Arbeitnehmer.
Artikel 35 Abs. 7 DSGVO beinhaltet für die Durchführung der DSFA vom Verantwortlichen zwingend einzuhaltende Voraussetzungen. Die DSFA dient hierzu nicht nur der Risikobewertung von Verarbeitungen, sondern muss überdies auch gemäß der Rechenschaftspflicht vgl. Artikel 5 Abs. 2 DSGVO dokumentiert werden. Die DSFA eines Zeiterfassungssystems muss insbesondere eine systematische Beschreibung der geplanten Zeiterfassung gem. Artikel 35 Abs. 7 lit. a) DSGVO enthalten. Des Weiteren muss die Notwendigkeit und Verhältnismäßigkeit der Zeiterfassung in Bezug auf den jeweiligen Zweck bewertet werden, lit. b) DSGVO. Zudem muss eine Risikobewertung für die Rechte und Freiheiten der Beschäftigten stattfinden, gem. lit. c) DSGVO. Außerdem müssen gem. lit. d) DSGVO Maßnahmen zur Bewältigung der Risiken getroffen werden, beispielsweise durch Garantien, Sicherheitsvorkehrungen und Nachweise über den Einhalt der Datenschutz-Grundverordnung.
An dieser Stelle sollte sich jeder Verantwortliche die Frage stellen, ob diese Voraussetzungen ausnahmslos erfüllt wurden, bevor die Zeiterfassung durchgeführt wird.
FAQ
Gemäß § 26 Abs. 1 BDSG dürfen Daten von Beschäftigten nur von berechtigten Personen eingesehen werden. Berechtigte Person kann beispielsweise der Arbeitgeber bzw. der direkte Vorgesetzte sein. Für den Fall, dass die Daten anonymisiert oder pseudonymisiert werden, kann der berechtigte Personenkreis auch erweitert werden. Gibt es in dem Unternehmen einen Betriebsrat, muss dieser gem. § 80 Abs. 1 Nr. 1 BetrVG darüber wachen, dass die Rechte der Arbeitnehmer gewahrt werden.
Dienstpläne können unter Umständen für die Abstimmung untereinander notwendig sein. Ob das Aushängen von Dienstplänen allerdings rechtmäßig ist, muss im Einzelfall bestimmt werden. Bei Dienstplänen werden personenbezogene Daten von Beschäftigten verarbeitet, wobei die Regelungen des § 26 BDSG eingehalten werden müssen. Zudem gilt bei der Verarbeitung das Prinzip der Datenminimierung, weshalb so wenig personenbezogene Daten wie möglich auf dem Dienstplan dokumentiert sein sollten. Eine Möglichkeit besteht zum Beispiel darin, dass die Daten pseudonymisiert auf dem Dienstplan eingesehen werden können. Hierbei wird der Name des Beschäftigten durch ein Kürzel oder eine Nummer ausgetauscht.
Ja, Zeiterfassung ist erlaubt, solange sie in Übereinstimmung mit den geltenden Datenschutzgesetzen und -bestimmungen durchgeführt wird. Im Rahmen des Beschäftigungsverhältnisses muss der Arbeitgeber deswegen darauf achten, dass die Daten zweckgebunden verarbeitet und ausreichend geschützt werden.
Da eine Verknüpfung zwischen der Arbeitszeit und dem jeweiligen Arbeitnehmer hergestellt wird, handelt es sich um ein personenbezogenes Datum. Bei der Verarbeitung müssen deswegen die Regelungen der DSGVO und des BDSG eingehalten werden.
Bei der Zeiterfassung muss darauf geachtet werden, dass die Persönlichkeitsrechte der Betroffenen gewahrt werden. So müssen die Grundsätze der Datenverarbeitung nach der DSGVO und dem BDSG eingehalten werden.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.