Datenschutz bei der Zeiterfassung: Was die DSGVO verlangt
Seit dem BAG-Urteil müssen Arbeitgeber die Arbeitszeit systematisch erfassen. Was dabei leicht untergeht: Jede erfasste Kommt- und Geht-Zeit ist ein personenbezogenes Datum – und damit gilt die Datenschutz-Grundverordnung. Wer Zeiten und Abwesenheiten speichert, muss das rechtssicher tun. Der Überblick über die wichtigsten Pflichten, ohne juristisches Kauderwelsch.
Zeiterfassung ist Datenverarbeitung
Beginn, Ende und Dauer der Arbeitszeit, Pausen, Krankheits- und Urlaubstage, oft auch der Standort beim mobilen Stempeln: All das sind personenbezogene Daten der Beschäftigten. Sobald Sie sie systematisch erheben und speichern, unterliegen Sie der DSGVO und dem Bundesdatenschutzgesetz (BDSG). Das gilt für die Excel-Tabelle genauso wie für die Cloud-Software – nur lässt sich Ersteres deutlich schwerer absichern.
Die Rechtsgrundlage
Für die Erfüllung der gesetzlichen Aufzeichnungspflicht brauchen Sie keine Einwilligung der Mitarbeitenden – die Verarbeitung stützt sich auf die Durchführung des Arbeitsverhältnisses (§ 26 BDSG) und die Erfüllung rechtlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO). Wichtig ist die Kehrseite: Weil die Grundlage die Pflichterfüllung ist, dürfen Sie die Daten auch nur dafür nutzen – nicht für eine heimliche Leistungs- oder Verhaltenskontrolle.
Biometrie ist ein Sonderfall
Fingerabdruck- oder Gesichtsscanner am Terminal wirken bequem, verarbeiten aber biometrische Daten – eine besondere Kategorie nach Art. 9 DSGVO mit deutlich höheren Hürden. Zulässig sind sie in der Regel nur, wenn es kein milderes Mittel gibt und meist mit ausdrücklicher, freiwilliger Einwilligung. Für die meisten Apotheken, Praxen und Pflegedienste ist die Erfassung per PIN, Chip, App oder Browser der rechtlich unkompliziertere Weg.
Zugriff, Aufbewahrung und Löschung
- Zugriff nur für Berechtigte: Wer den Dienstplan macht und die Lohnabrechnung erstellt, braucht Einblick – die Kollegin am Nebentresen nicht. Ein Rollen- und Rechtekonzept ist Pflicht.
- Aufbewahren, solange nötig: Arbeitszeitnachweise sind mindestens zwei Jahre aufzubewahren (§ 16 ArbZG), für die Lohnbuchhaltung gelten steuer- und sozialrechtlich längere Fristen.
- Danach löschen: Sind alle Aufbewahrungsfristen abgelaufen, müssen die Daten gelöscht werden. Ein endloses Archiv „für alle Fälle“ ist ein DSGVO-Verstoß.
Cloud-Software: der Auftragsverarbeitungsvertrag
Nutzen Sie eine Zeiterfassungs- oder Dienstplan-Software, die die Daten auf den Servern des Anbieters speichert, verarbeitet dieser die Daten in Ihrem Auftrag. Dafür schreibt Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV) vor. Prüfen Sie außerdem, wo die Server stehen: Ein Hosting innerhalb der EU erspart Ihnen die komplizierte Zusatzprüfung bei Drittlandübermittlungen. Seriöse Anbieter stellen AVV und Serverstandort transparent bereit.
Kurz-Checkliste
- Rechtsgrundlage dokumentieren (Pflichterfüllung, nicht Einwilligung für die reine Zeiterfassung).
- Nur notwendige Daten erfassen – keine Diagnosen, keine dauerhaften Standortprofile.
- Rollen- und Rechtekonzept einführen: Wer sieht was?
- Löschfristen festlegen und einhalten.
- Bei Cloud-Lösungen AVV abschließen und EU-Serverstandort bevorzugen.
- Beschäftigte transparent über die Verarbeitung informieren (Art. 13 DSGVO).
Vergleichen Sie Dienstplan- und Zeiterfassungs-Lösungen – mit Empfehlungen für Ihre Branche.