4 min.
Datenschutz bei der digitalen Zeiterfassung
Digitale Zeiterfassungssysteme sind heutzutage das gängige Mittel, Arbeitszeiten der Mitarbeitenden zu dokumentieren. Das bringt zwar viele Vorteile mit sich, aber wie kann man dabei den Datenschutz einhalten?
- 1.Kurz und knapp
- 2.Datensicherheit – was ist erlaubt?
- 3.Datenschutzkonformität
- 4.Kontrolle der Arbeitszeiten
Kurz und knapp
Spätestens seit der Dokumentationspflicht der täglichen Arbeitszeiten, die der Europäische Gerichtshof durch ein Urteil festgelegt hat, ist es für Unternehmen Standard geworden, diese elektronisch zu erfassen. Mit der Vielzahl an Möglichkeiten, die man sich bei der Zeiterfassung zunutze machen kann, steigt mit wachsender Digitalisierung auch die Frage nach der Datensicherheit für die Mitarbeitenden. Durch die agilen und ortsunabhängigen Arbeitsmodelle, die es heutzutage gibt, sind Arbeitnehmende zunehmend flexibel in ihrem Standort. In diesem Artikel erläutern wir, welche Formen der Zeiterfassung erlaubt sind und welche Maßnahmen nicht datenschutzkonform wären.
Datensicherheit – was ist erlaubt?
Grundsätzlich vereint ein gelungenes Zeiterfassungssystem in erster Linie die relevanten Daten der Mitarbeitenden: den Namen (oder die Personalzuordnungsnummer) sowie Beginn und Ende der Arbeitszeit inklusive der Pausenzeiten. Die Dokumentation muss mindestens zwei Jahre lang aufbewahrt werden, sodass bei Unstimmigkeiten auch nach der Aufzeichnung noch darauf zurückgegriffen werden kann. Der Nachweis der erbrachten Stunden ist für die Lohnbuchhaltung essenziell und auch für die Führung eines Gleitzeitkontos erforderlich. Aus diesem Grund müssen die Mitarbeitenden nicht ausdrücklich in die Erfassung der und Verarbeitung der Arbeitszeiten einwilligen. Nichtsdestotrotz ist für die Arbeitnehmer*innen der rechtliche Schutz aus der Datenschutz-Grundverordnung (DSGVO) gewährleistet.
Datenschutzkonformität
Seit Mai 2018 gilt in der EU die Datenschutz-Grundverordnung und dient vor allem der Vereinheitlichung der Rahmenbedingungen zur Verarbeitung und Verwendung personenbezogener Daten durch Unternehmen. Der Zweck der DSGVO ist der Schutz im Umgang mit personenbezogenen Daten, aber auch die Gewährleistung des freien Datenverkehrs innerhalb der europäischen Union. Dazu gehört auch die Erfassung von Arbeitszeiten.
Die Grundprinzipien und Anforderung der DSGVO müssen auf Arbeitnehmerseite umgesetzt werden und sind in Art. 5 DSGVO formuliert. Sie lauten wie folgt:
- Rechtmäßigkeit und Transparenz: Die Verarbeitung muss auf freiwilliger Basis geschehen und spezifisch formuliert sein. Alle Informationen zur Verarbeitung der eigenen Daten müssen den Mitarbeitenden leicht zugänglich und verständlich sein.
- Zweckbindung: Daten müssen für eindeutige und legitime Zwecke erhoben werden und dürfen nach Erhebung nicht für weitere Zwecke verarbeitet werden.
- Datenminimierung: Es dürfen für den genannten Zweck nur so viele Daten erhoben und verarbeitet werden wie nötig.
- Richtigkeit: Die erhobenen Daten müssen sachlich richtig sein.
- Speicherbegrenzung: Die Daten müssen in einer Form gesichert werden, die die Verarbeitung nur so lange ermöglicht, wie es für den genannten Zweck notwendig ist.
- Integrität und Vertraulichkeit: Die Sicherheit der persönlichen Daten muss gewährleistet werden – unbefugte oder unrechtmäßige Verarbeitung muss durch schützende Maßnahmen abgewehrt werden können.
- Rechenschaftspflicht: Die genannten Richtlinien müssen eingehalten und auf Anfrage nachgewiesen werden können.
Kontrolle der Arbeitszeiten
Grundsätzlich kann man als Arbeitgeber*in frei wählen, welche Art der Zeiterfassung für den Betrieb genutzt wird – sei es die händische Listenführung über Excel oder die digitale Arbeitszeiterfassung mithilfe einer Software.
GPS-Stempel
Das Tracking von GPS-Standortdaten ist eine Form der Erfassung, die vor allem zum Einsatz kommt, wenn die Mitarbeitenden im Außendienst arbeiten; das hilft Arbeitgebenden zu erkennen, an welchen Tagen sich die Arbeitnehmenden im Außeneinsatz befinden. Allerdings ist es gerade bei der GPS-Überwachung wichtig, bestimmte Rahmenbedingungen einzuhalten, damit die Datenschutzkonformität nicht beeinträchtigt wird. Gerade beim Arbeiten im Home Office handelt es sich um hochgradig sensible, personenbezogene Informationen, die schützenswert sind.
Es ist aus diesem Grund notwendig, dass die Mitarbeitenden in das GPS-Tracking zustimmt; hierfür müssen die Mitarbeitenden in den Zweck der GPS-Überwachung, die Datennutzung und die Datenverarbeitung explizit und durch Unterschrift einwilligen. Falls ein Betriebsrat vorhanden ist, kann die Einführung dieser Maßnahme im Rahmen einer Betriebsvereinbarung festgelegt werden, die beschreibt, unter welchen Umständen das Tracking erlaubt ist.
Es ist zu beachten, dass die GPS-Datenerhebung nur dann datenschutzrechtlich konform ist, wenn die Mitarbeitenden die Ortung selbst auslösen. Sie müssen sich also mit eingeschaltetem Geo-Tag in der App einstempeln oder ausstempeln, damit die Daten verarbeitet werden können – die Daten dürfen nicht über den ganzen Tag hinweg getrackt werden. Vor allem, wenn die Mitarbeitenden das mobile Endgerät auch privat nutzen, muss sichergestellt werden, dass die App nicht im Hintergrund Standortdaten erfasst. Permanente Standorterfassung in Form einer Überwachung ist verboten und es muss den Mitarbeitenden in der App transparent aufgezeigt werden, wann die Standorterfassung aktiviert ist.
Verifizierung mittels biometrischer Daten
Unter biometrischen Daten versteht man biologische Messwerte, die sich eindeutig einer Person zuordnen lassen und dadurch der Identifizierung dienen. Dazu zählt beispielsweise der Fingerabdruck. Auch bei der Zeiterfassung birgt die Verifizierung über biometrische Daten den Vorteil, dass Mitarbeiter*innen klar und zuverlässig zugeordnet werden können und Missbrauch der digitalen Zeiterfassungssysteme ausgeschlossen werden kann. Allerdings handelt es sich hierbei um hochgradig senbsible Daten, die nach Art. 9 Abs. 1 DSGVO an besondere Zulässigkeitsvoraussetzungen geknüpft sind. Arbeitgeber*innen dürfen von ihren Mitarbeitenden nicht verlangen, diese Daten zu nutzen, da das individuelle Persönlichkeitsrecht im Rahmen einer Abwägung der schutzwürdigen Interessen das Interesse der Arbeitgebenden klar überwiegt. Arbeitgeber*innen haben in der Regel ausreichend Möglichkeiten, die Zeiterfassung ihrer Mitarbeitenden mit weniger gravierendem Eingriff in das Persönlichkeitsrecht durchzuführen. Im Übrigen sind Bilder nicht grundsätzlich als „biometrische Daten“ im Sinne des Art. 9 DSGVO zu verstehen, wie aus dem Erwägungsgrund 51 Satz 3 DSGVO hervorgeht: Demnach sind nur jene Bilddaten „biometrisch“, die mit speziellen technischen Mitteln verarbeitet werden und die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Somit sind spontan aufgenommene Bildaufnahmen, die zur Verifizierung bei der Zeiterfassung genutzt werden, nicht an die oben erwähnten besonderen Zulässigkeitsvoraussetzungen geknüpft.
Schau dir gastromatic in der kostenlosen Live-Demo an!
Jetzt Platz sichern
Hinweis: Hierbei handelt es sich um unverbindliche Informationen. Die Autorinnen und Autoren übernehmen keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der bereitgestellten Informationen, welche auch keine individuelle Rechtsberatung darstellen.
Weitere Spannende Beiträge für dich
Weitere Spannende Beiträge für dich
Ähnliche Beiträge
4 min.
Feiertagsausgleich und Sonntagsarbeit
Wir zeigen dir, wie du Sonn- und Feiertagsarbeit rechtssicher planst und geben dir Tipps zu Ausgleich und Vergütung.
4 min.
Neuer gesetzlicher Mindestlohn 2025
Erfahre alles zur aktuellen Höhe des Mindestlohns, welche Änderungen geplant sind und welche Pflichten für dich als Arbeitgeber gelten.
3 min.
Übergangsbereich Midijob: Basics & Chancen für die Gastronomie
Hier erfahrt ihr, wie sich Minijob und Midijob unterscheiden und was Arbeitgebende und Arbeitnehmende unbedingt darüber wissen sollten.