Praxisnahe Umsetzung seit 2013

Ihr Experte für Datenschutz und Informationssicherheit

Arbeitszeit­erfassung und Datenschutz

Wie passt die elektronische Zeiterfassung und der Datenschutz zusammen? Ich zeige Ihnen die wesentlichen Punkte, die Sie beachten müssen.

Im Jahr 1994 trat erstmalig das Arbeitszeitgesetz (ArbZG) Deutschland in Kraft. Es dient der Sicherheit und dem Gesundheitsschutz der Beschäftigten und setzt die Rahmenbedingungen für flexible Arbeitszeiten. Außerdem werden Sonn- und Feiertage als Tage der Arbeitsruhe definiert. Im Jahr 2019 hat der EuGH ein Grundsatzurteil zur Arbeitszeiterfassung gefällt. Demnach muss jedes Unternehmen protokollieren, wie lange die Beschäftigten arbeiten, d. h. wann sie die Arbeit beginnen und beenden. Nur so ist sichergestellt, dass sich Unternehmen und Beschäftigte an die Vorschriften halten, und die Beschäftigten vor Überbelastung geschützt werden. Beschäftigte dürfen nur eine maximale Anzahl von Stunden täglich arbeiten. Auch müssen Pausenzeiten zwischen zwei Arbeitstagen eingehalten werden. Für gewissen Personengruppen, wie z. B. leitende Angestellte gelten Ausnahmen.

Pflicht zur systematischen Zeiterfassung

Nach einem aktuellen Urteil des Bundesarbeitsgerichtes (BAG) besteht die Pflicht, Arbeitszeiten systematisch zu erfassen, um die gesetzlichen und tariflichen Arbeitszeitbedingungen erfüllen zu können. Dieses Urteil hat für Unternehmen weitreichende Auswirkungen, wenn bislang die Arbeitszeiterfassung noch nicht entsprechend im Unternehmen umgesetzt worden ist. Auch mobile Arbeitsplätze und Home-Office-Tätigkeiten sind dabei zu berücksichtigen.

Nach dem deutschen Arbeitszeitgesetz müssen bislang lediglich Überstunden und Sonntagsarbeit dokumentiert werden. Der deutsche Gesetzgeber ist aktuell noch dabei, die EuGH-Vorgaben aus dem Jahr 2019 in nationales Recht umzusetzen.

Was ist bei der Zeiterfassung im Datenschutz zu beachten?

Erfasst der Beschäftigte seine Arbeitszeit, unabhängig davon, ob dies manuell oder elektronisch erfolgt, handelt es sich um eine Verarbeitung personenbezogener Daten. Die datenschutzrechtlichen Vorgaben der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) sind dabei zu beachten.

Es gibt auf dem Markt die unterschiedlichen IT-Systeme, um die Erfassung effektiv und sicher zu gestalten. Auf dem Markt werden seit Jahren Transponder, softwarebasierte Lösungen oder Apps angeboten, die je nach Unternehmen mehr oder weniger geeignet sind. Dabei sollten jedoch die Anforderungen der DSGVO erfüllt werden.

Arbeitszeiterfassung und die Rechtsgrundlage

Wenn es Gesetze gibt, die eine systematische Erfassung der Arbeitszeiten vorschreiben, wird Ihnen die datenschutzrechtliche Grundlage gem. Art. 6 Abs. 1 UAbs. 1 Buchst. c) DSGVO bereits vorgegeben. Sobald das nationale Arbeitszeitgesetz angepasst worden ist, sollte dies auch für die Aufzeichnung der gesamten Arbeitszeit gelten. Das berechtigte Interesse des Arbeitgebers sowie der Arbeitsvertrag mit dem Beschäftigten, die geleistete Arbeitszeit zu vergüten, stellen weitere mögliche Rechtsgrundlagen dar. Dies ist im Einzelfall noch einmal zu prüfen. Sollten Sie IT-Systeme einsetzen, die biometrische Daten verarbeiten (z. B. biometrischer Fingerabdruck oder Face ID), wird eine zusätzliche Rechtsgrundlage erforderlich sein, weil besondere personenbezogene Daten verarbeitet werden. Auch bei Übermittlungen an Unternehmen in ein Drittland mit einem niedrigen Datenschutzniveau sind Garantien erforderlich, um die Rechtmäßigkeit der Datenverarbeitung nachweisen zu können. Aufwändig wird auch die Verarbeitung von GPS-Daten, die insbesondere bei Außendienstmitarbeitern verwendet werden könnten. Von den oben genannten Verfahren sollte abgesehen werden, um den Aufwand im Unternehmen für eine gesetzeskonforme Lösung gering zu halten und nachgelagerte Risiken zu vermeiden.

Arbeitszeiterfassung und die Transparenz

Kontrollieren Sie, ob Sie bereits Ihren Beschäftigten Informationen über die Verarbeitung der personenbezogenen Daten für die Anbahnung, Durchführung und Beendigung des Arbeitsverhältnisses zur Verfügung stellen und dies auch nachweisen können. Sofern dies noch nicht der Fall ist, informieren Sie die Beschäftigten transparent gem. Art. 13 DSGVO über die Verarbeitung der Daten im Arbeitsverhältnis, auch der Arbeitszeiterfassung.

Arbeitszeiterfassung und die Zweckbindung

Die Erfassung von Arbeitszeiten dienen zur Einhaltung der gesetzlichen und vertraglichen Vorgaben. Sollen die Daten für eine Leistungs- und Verhaltenskontrolle verwendet werden sollen, prüfen Sie, ob dabei der Zweckbindungsgrundsatz verletzt wird. Dies kann zu einer Ordnungswidrigkeit und zu anlassbezogenen Kontrollen von Aufsichtsbehörden führen. Stichprobenkontrollen sind jedoch grundsätzlich zulässig, um prüfen zu können, ob die vertraglichen und rechtlichen Regelungen eingehalten werden. Die zuständigen Vorgesetzten können bei Auffälligkeiten mithilfe einer monatlichen Übersicht der festgelegten und geleisteten Stunden auf Abweichungen hinweisen. Es sollte jedoch nicht der Eindruck einer Dauerüberwachung entstehen. Konkrete Regelungen sind dazu im Unternehmen transparent festzulegen.

Arbeitszeiterfassung und die Datenminimierung / Speicherbegrenzung

Achten Sie bei jeder Datenverarbeitung darauf, nur Daten zu verarbeiten, die zum Zweck erforderlich sind. Reduzieren Sie Art und Umfang der personenbezogenen Daten auf ein Minimum. Nach dem Zweckentfall sind die Daten von allen Datenträgern zu löschen. Der Zweck entfällt bei Überstunden üblicherweise nach 2 Jahren gem. § 16 Abs. 2 ArbZG . Sofern die Nachweise steuerrelevant sind, ist eine Speicherung für 10 Jahre gem. Abgabenordnung erforderlich. Kontaktieren Sie hier Ihre Steuerberatung und passen Ihr Löschkonzept entsprechend an.

Zeiterfassung und der Betriebsrat / Personalrat

Vergessen Sie bei der Planung einer elektronischen Zeiterfassung nicht, den Betriebsrat / Personalrat mit einzubeziehen. Ein Mitbestimmungsrecht hängt davon ab, ob das IT-System dazu geeignet ist, eine Leistungs- und Verhaltenskontrolle zu ermöglichen.

Sicherheit der Verarbeitung bei der Zeiterfassung

Bei der Zeiterfassung sind, wie bei anderen Verarbeitungstätigkeiten im Unternehmen auch, technische und organisatorische Maßnahmen zu etablieren. Diese dienen dazu, die Sicherheit der Verarbeitung zu garantieren. Die Arbeitszeitdaten müssen richtig sein, nicht verändert werden und nicht an Unbefugte übermittelt werden. Die konkreten Maßnahmen richten sich nach der etablierten Lösung. Bereits bei der Auswahl sollten Sie prüfen, ob die Software und ggf. der eingesetzte Dienstleister angemessene und wirksame Sicherheitsmaßnahmen etabliert hat. Typische Sicherheitsmaßnahmen sind:

Technische und organisatorische Maßnahmen / KontrollfragenCheck
Identitäts- und Berechtigungsmanagement: Wer hat Zutritt, Zugang und Zugriff auf welche Daten der Zeiterfassung inkl. IT-Systeme? Welche Auswertungen oder Exporte können durch wen erstellt werden?
Sensibilisierung und Schulung: Wer wird wann und wie in diesem Bereich geschult?
Betroffenenrechte: Können Sie die Rechte der Betroffenen, wie z. B. Auskunft, Berichtigung und Löschung umsetzen?
Löschen und Vernichten: Wer löscht wann wie nachweislich welche Daten?
Operativer Betrieb: Welche Maßnahmen werden etabliert, um den operativen Betrieb der verwendeten IT-Systeme sicher zu gestalten?
Anwendungen: Sind die verwendeten Software-Systeme geeignet, um personenbezogene Daten gem. DSGVO zu verarbeiten (Stichwort: Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen)
Dienstleister: Sind die eingesetzten externen Dienstleister geeignet, um Einblick in die Daten zu verhalten bzw. die Daten für Sie im Auftrag zu verarbeiten?
Netze- und Kommunikation: Sind die eingesetzten IT- und TK-Systeme geeignet, um die Daten sicher zu übertragen?
Infrastruktur: Sind die Gebäude und Räume so gestaltet, dass die Informationen der Arbeitszeiterfassung sicher verarbeitet bzw. archiviert werden?
Nachweis und kontinuierliche Verbesserung: Können Sie die oben genannten Maßnahmen auch nachweisen und werden diese regelmäßig auf Wirksamkeit geprüft?
Checkliste für Maßnahmen zur Zeiterfassung und Datenschutz

Fazit

Werden die Vorgaben der DSGVO erfüllt, ist die Zeiterfassung grundsätzlich zulässig. Sofern Sie Arbeitszeiten elektronisch erfassen, achten Sie schon bei der Auswahl auf den Funktionsumfang und die externen Dienstleister, um den datenschutzrechtlichen Aufwand und Risiken für Ihr Unternehmen so gering wie möglich zu halten. Reduzieren Sie den Umfang der Datenverarbeitung auf das Wesentliche, um den rechtlichen Zweck zu erfüllen. Sichern Sie die verwendeten IT-Systeme so ab, dass die Daten gegen Verlust der Vertraulichkeit, Integrität und Verfügbarkeit angemessen geschützt werden.

Sie benötigen Unterstützung bei der datenschutzkonformen Zeiterfassung und Personaleinsatzplanung in Ihrem Unternehmen ? Kontaktieren Sie mich direkt oder planen Sie gleich Ihr Projekt.

Inhalte

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.

Ein wichtiger Hinweis: Die Blogbeiträge ersetzen nicht die Datenschutzberatung und stellen keine rechtliche Beratung dar. Die Beiträge geben einen groben Überblick über die Thematik und geben erste Informationen zum Sachverhalt. Mittlerweile sind die Inhalte auch nicht mehr aktuell, weil sich Rechtsprechungen oder Rechtsgrundlagen geändert haben. 

Aktuelle News zum Thema Daten­schutz und Infor­mations­sicherheit

In diesem Bereich finden Sie Nachrichten und Hintergrundinformationen zum Thema Datenschutz und Informationssicherheit. Sie haben ein Thema, was einen Beitrag wert wäre? Melden Sie sich gerne.

Kontakt

Buchen Sie ein kostenfreies Erstgespräch und lassen Sie uns über Ihr Projekt sprechen.

News in Datenschutz und Informationssicherheit