Die Zeiterfassung muss wichtige Regelungen zur DSGVO befolgen.
Lesezeit:

Zeiterfassung und DSGVO: Was ist erlaubt?

Da Stundenzettel und Co. immer digitaler werden, fragen sich immer mehr Arbeitgebende und -nehmende: Was ist erlaubt bei der Zeiterfassung? Wir fassen zusammen, worauf es bei diesem Thema zu achten gilt.

Mit der DSGVO musste auch das Thema Zeiterfassung neu betrachtet werden – denn bei Zeitkonten handelt es sich um personenbezogene Daten, die den Regelungen der Datenschutz-Grundverordnung unterliegen. Hier müssen Unternehmen also gewährleisten, dass die Daten sicher und den Vorschriften entsprechend gespeichert werden.

 

Was ist die DSGVO?

Die DSGVO (kurz für Datenschutz-Grundverordnung) bezeichnet eine Verordnung der Europäischen Union, in der der Umgang mit personenbezogenen Daten für den öffentlichen Raum geregelt ist. Sie gilt seit dem 25. Mai 2018 mit dem Ziel, Datenschutzrichtlinien in der EU zu vereinheitlichen, da die Vorgehensweisen vorher stark voneinander abwichen.

 

Für wen gilt die Datenschutz-Grundverordnung?

Die Verordnung gilt für Konzerne, Unternehmen, Behörden, Praxen sowie Vereine und sowohl innerhalb als auch außerhalb der Europäischen Union. Außerhalb gelten die Vorschriften der DSGVO etwa, sobald personenbezogene Daten von EU-Bürger*innen verarbeitet werden oder die datenverarbeitende Instanz eine Niederlassung innerhalb der EU betreibt. Sie gilt jedoch nicht für persönliche oder rein familiäre Zwecke.

 

Wie definieren sich personenbezogene Daten?

Personenbezogene Daten sind Informationen, die sich auf eine natürliche identifizierbare Person beziehen. Sie ist dann identifizierbar, wenn anhand konkreter Kriterien die Möglichkeit besteht, sie zu identifizieren, zu bestimmen oder zu klassifizieren. Das können etwa der Name, die Personalnummer, das Aussehen, aber auch die individuellen Zeitdaten der Person sein.

 

Zeiterfassung und DSGVO: Personenbezogene Daten

Auch anhand der individuellen Zeitkonten wäre es möglich, eine Person zu identifizieren. Genau deshalb unterliegt die Zeiterfassung der DSGVO. Was ist bei der Zeiterfassung erlaubt und was nicht? Das ist eine Frage, mit der sich Unternehmen daher auseinandersetzen müssen, um die Regularien bestmöglich einzuhalten. Das Ziel ist immer eine korrekte, objektive und genaue Erfassung, die zudem zugänglich und systematisch erfolgt – das ist durch das EuGH-Urteil zur Arbeitszeiterfassung vorgesehen.

Die Arbeitszeiterfassung kann mit verschiedenen Endgeräten erfolgen.Die Arbeitszeiterfassung der Mitarbeitenden muss sich an den Vorgaben der DSGVO orientieren; Bild © Pexels.com

 

Die Aufzeichnungen über die individuellen Arbeitsstunden müssen Betriebe für mindestens zwei Jahre aufbewahren (§ 21a Absatz 3 Satz 7). Sie dienen Arbeitgebenden und Beschäftigten als Nachweis über erbrachte Stunden. Das ist wichtig, falls es einmal zu Unstimmigkeiten kommt, wie etwa in einem Fall, bei dem das Arbeitsgericht Emden im Februar 2020 aufgrund von Aufzeichnungen eines Mitarbeitenden zu dessen Gunsten entschied.

Zum einen sieht das Arbeitszeitgesetz vor, die Zeiten der Beschäftigten aufzuzeichnen - zumindest in einigen Fällen. Weitere Gesetzesanpassungen aufgrund des EuGH-Urteils sind noch zu erwarten. Zum anderen benötigen Unternehmen auch aufgrund von neuen Zeitmodellen bzw. Lohn- und Gehaltsabrechnung eine genaue Aufzeichnung der Arbeitsstunden. Dazu müssen Beschäftigte nicht einwilligen. Dennoch muss die Zeiterfassung nach den Richtlinien der DSGVO erfolgen. Das sind die folgenden:

  • Die Speicherung der Zeitdaten muss rechtmäßig und transparent Die Informationen über die Datenverarbeitung müssen für die Betroffenen leicht zugänglich sein.
  • Es muss ein klarer Zweck für die Aufzeichnung der Arbeitszeiten bestehen – etwa zur Lohn- und Gehaltsabrechnung oder durch die Verpflichtung der Arbeitgebenden.
  • Die erhobenen Daten müssen korrekt Zudem dürfen nur so viele Daten wie nötig erhoben werden.
  • Die Speicherung der erhobenen Informationen darf nur so lange erfolgen, wie für den Zweck erforderlich.
  • Die Speicherung muss vertraulich erfolgen, sodass keine dritte Person Zugriff auf die Informationen hat. Ebenso muss sichergestellt werden, dass die Daten nicht verloren gehen oder manipuliert werden können.
  • Auf Anfrage müssen Unternehmen nachweisen können, dass Datenschutzrichtlinien eingehalten werden.

 

IT-Sicherheit und DSGVO gehen Hand in Hand

Neben der DSGVO ist bei der Zeiterfassung auch die IT-Sicherheit der eingesetzten Methoden von großer Bedeutung. Speichert der Arbeitgebende die Zeitkonten mithilfe eines Zeiterfassungssystems, muss er sicherstellen, dass die Daten vertraulich verarbeitet werden. Bestenfalls liegen die Server in Deutschland – dann können Unternehmen sicher sein, dass die Vorschriften der Datenschutz-Grundverordnung eingehalten werden. Einige Zeiterfassungsanbieter verfügen zudem über eine ISO-27001-Zertifizierung – diese belegt die Einhaltung von Richtlinien zur Informationssicherheit im Betrieb.

 

Jetzt zum kostenlosen Webinar anmelden!

 

 

DSGVO-konforme Zeiterfassung Ihrer Mitarbeiter*innen: Was ist erlaubt?

Ob Chipkarte, Fingerabdruck, Transponder oder mobile Zeiterfassung mit App: Bei all diesen Methoden werden personenbezogene Daten erhoben, die der DSGVO unterliegen. Was ist erlaubt und was muss datenschutzrechtlich beachtet werden? Wir fassen die wichtigsten Informationen unten für Sie zusammen.

 

Ist Zeiterfassung mit GPS erlaubt?

Für viele Bereiche, z. B. bei der mobilen Zeiterfassung auf der Baustelle, ist eine zusätzliche GPS-Information erforderlich oder gewünscht. So kann der Betrieb sichergehen, dass nicht zu viel Zeit für Fahrtzeiten dokumentiert wird und eine genaue Projektdokumentation gewährleisten. Für die GPS-Arbeitszeiterfassung gilt jedoch: Mitarbeitende müssen die GPS-Aufzeichnung selbst auslösen können. Dazu muss eine Berechtigung in der App und eine Möglichkeit des An- und Ausschaltens dieser Berechtigung vorliegen. Die GPS-Aufzeichnung beruht also auf freiwilliger Zustimmung der Beschäftigten.

 

Arbeitszeiterfassung mit Fingerabdruck

Auch die Stundenerfassung mithilfe eines Terminals mit Fingerabdruck-Sensor ist möglich. Dennoch haben Unternehmen laut einem Urteil des Arbeitsgerichts Berlin aus dem Jahr 2019 kein Recht auf die Erhebung biometrischer Daten: Bei biometrischen Daten handelt es sich nämlich um besondere personenbezogene Informationen, die eben auch einem besonderen Schutz unterliegen. Der Erfassung der biometrischen Informationen müssen Beschäftigte laut Art. 9 Abs. 1 DSGVO gesondert zustimmen. Für die Zeiterfassung ist eine solche Methode also eher ungeeignet. Sie eignet sich eher für die Absicherung besonders schützenswerter Bereiche am Unternehmensstandort mittels Zutrittskontrollsoftware – beispielsweise einem Serverraum.

 

Video- oder Computerüberwachung am Arbeitsplatz

Video- oder Computerüberwachung der Mitarbeitenden können Einschnitte in die Persönlichkeitsrechte bedeuten. Auf diese Weise kann man zwar feststellen, wer wann anwesend war, jedoch ist das aufgrund datenschutzrechtlicher Bestimmungen nicht zulässig. Die Videoüberwachung der Unternehmensräume darf nur in bestimmten öffentlichen Bereichen und ohne Tonaufnahme erfolgen. Außerdem muss ein Hinweisschild angebracht werden. Hier gibt es weitere Informationen zum Thema Videoüberwachung im Unternehmen.

Auch über Trackingsoftware am Computer können die Arbeitszeiten der Mitarbeitenden theoretisch ausgewertet werden. Jedoch ist eine dauerhafte oder heimliche Computerüberwachung aus datenschutzrechtlichen Gründen nicht zulässig. Einzig das Ein- und Ausstempeln mithilfe einer Zeiterfassungssoftware am PC oder an einem anderen Gerät ist allerdings erlaubt.

 

Betriebsrat und Arbeitszeiterfassung

Der Betriebsrat bekommt laut § 87 Abs. 1 Nr. 6 BetrVG bei der Einführung eines Zeiterfassungssystems ein Mitbestimmungsrecht. Dieses bezieht sich auf die Nutzung von Systemen, die dazu dienen, Verhalten bzw. Leistungen von Beschäftigten zu überwachen. Dabei hat auch der Betriebsrat zu beachten, was bei der DSGVO-konformen Zeiterfassung erlaubt ist und was nicht. Darüber hinaus muss die Vereinbarung zwischen dem Arbeitgebenden und dem Betriebsrat folgende Punkte zur Arbeitszeiterfassung beinhalten:

  • Definition der Daten und Zweck der Erfassung
  • Zugriffsrechte und Auswertungen zur Zeiterfassung
  • Regelung über GPS-Standortübertragung bei der Erfassung

 

Infografik mit Überblick, was bei der Zeiterfassung erlaubt ist

Damit bei der Stundenerfassung nichts schiefläuft, sollten Unternehmen wichtige Vorschriften beachten; Bild © GFOS mbH

 

Zusammenfassung: Zeiterfassung DSGVO-konform nutzen

  • Die Erfassung der Arbeitszeiten muss den Regeln der DSGVO folgen und bestenfalls gleichzeitig ISMS-Regularien (Information Security Management System) beachten. Das betrifft etwa den Speicherort und die Speicherdauer der Informationen.
  • Eine Einwilligung der Beschäftigten ist für die Arbeitszeiterfassung einzuholen.
  • Die Erfassung von biometrischen Daten benötigt eine gesonderte Einwilligung der Mitarbeitenden.
  • Video- und Computerüberwachung sind nur in wenigen Fällen zulässig.
  • Mitarbeitende müssen der Übermittlung von GPS-Standortdaten zur Zeiterfassung zustimmen.
  • Der Betriebsrat hat ein Mitbestimmungsrecht bei der Aufzeichnung von Leistung und Verhalten der Beschäftigten.

 

Verlassen Sie sich auf über 30 Jahre Expertise made in Germany

Die GFOS ist seit über 30 Jahren mit Expertise zum Thema Workforce Management und Zeitwirtschaft am Markt vertreten. Verschiedene Zertifizierungen, Schnittstellen und Datencenter in Deutschland sorgen dafür, dass bei Zeiterfassung mit unserer Software alles zur DSGVO eingehalten werden kann. Wir verfolgen jederzeit aktuelle Gesetze und Regularien, sodass unsere IT-Expert*innen immer informiert sind, was erlaubt ist. Tarifliche, gesetzliche und betriebliche Anforderungen lassen sich somit problemlos mit unseren Systemen abbilden. Überzeugen Sie sich selbst und vereinbaren Sie einen unverbindlichen Beratungstermin.

 

*** Disclaimer: Dieser Beitrag ist kein Ersatz für eine Beratung durch einen Fachanwalt. Dies gilt insbesondere im Hinblick auf die tatsächliche Berücksichtigung aktueller Rechtsprechung. Die GFOS mbH übernimmt daher insbesondere keine Haftung für Vollständigkeit und Richtigkigkeit. ***

gfos.Workforce

Schlagwörter
Zeiterfassungssystem DSGVO Datenschutz Arbeitszeitrecht Zeiterfassungspflicht

Wollen Sie eine kostenfreie und unverbindliche Beratung?

Die IT-Experten der GFOS stehen Ihnen gerne jederzeit zur Verfügung.

nehmen-sie-kontakt-auf