Zeiterfassung und Datenschutz in Unternehmen
- Unternehmen müssen Arbeitszeiten ihrer Angestellten systematisch erfassen (BAG-Urteil 2022).
- Arbeitszeiten sind personenbezogene Daten und unterliegen der DSGVO.
- Erfassung der Arbeitszeiten muss elektronisch und datenschutzkonform erfolgen.
- Biometrische Zeiterfassung nur unter strengen Datenschutzbedingungen erlaubt.
- Unternehmen müssen Mitarbeitende über Datenschutzrechte informieren.
- Item A
- Item B
- Item C
Seit Erfindung der Stechuhr hat sich bei der Erfassung der Arbeitszeit viel getan. Die Digitalisierung sorgt für mehr Transparenz und Zeitersparnis. Gleichzeitig entstehen daraus jedoch auch Gefahren für den Datenschutz und die Privatsphäre von Beschäftigten im Unternehmen. Für Unternehmen entstehen immer wieder datenschutzrechtliche Probleme im Zusammenhang mit der Erfassung und Kontrolle der Arbeitszeit.
Das zeigt auch ein Fall, der die Datenschutzaufsichtsbehörde des Saarlands im Jahr 2022 beschäftigte. Dort hatte ein Arbeitgeber die Anwesenheitsdaten eines Leiharbeitnehmers nicht für den ursprünglich festgelegten Zweck verwendet – nämlich um festzustellen, wie viele Mitarbeitende sich aktuell auf dem Betriebsgelände befinden –, sondern zur Kontrolle der auf anderem Wege erfassten Arbeitszeiten. Der Arbeitgeber hat damit gegen den DSGVO-Grundsatz der Zweckbindung der Datenverarbeitung verstoßen. Zudem hat der Arbeitgeber die Anwesenheitsdaten länger als notwendig gespeichert und die DSGVO damit auch in diesem Punkt missachtet.
Damit Arbeitgeber ihre Pflicht zur Erfassung der Arbeitszeit sicher erfüllen und von Anfang an alles richtig machen können, sollten sie sich mit dem Thema detailliert auseinandersetzen – und die Zeit nutzen, bis der aktuell vorliegende Referentenentwurf in eine verbindliche Rechtsgrundlage für die Arbeitszeiterfassung umgesetzt wird.
Wie Sie mit der Arbeitszeiterfassung umgehen können und inwieweit der Datenschutz bei der Arbeitszeiterfassung eine Rolle spielt, sind Fragen, mit denen sich nahezu alle Unternehmen in Europa bereits seit 2019 beschäftigen. Denn 2019 hat der Europäische Gerichtshof (EuGH) entschieden, dass die EU-Mitgliedstaaten die Arbeitgeber dazu verpflichten müssen, die Arbeitszeit ihrer Beschäftigten systematisch zu erfassen (C-55/18).
2022 stellte dann das Bundesarbeitsgericht (BAG) für deutsche Arbeitgeber die Pflicht fest, die Arbeitszeiten ihrer Angestellten zu erfassen (BAG- Beschluss v. 13.09.2022 - 1 ABR 22/21). Erfahren Sie hier, wie Sie Zeiterfassung und Datenschutz in Ihrem Unternehmen sicher umsetzen.
Zeiterfassung & Datenschutz: Wie ist die rechtliche Lage?
Ein Urteil aus dem September 2022 brachte eine große Wende beim Thema Zeiterfassung in Deutschland. Das Bundesarbeitsgericht (BAG) hat entschieden, dass Unternehmen in Zukunft dazu verpflichtet sind, die Arbeitszeit von Angestellten systematisch zu erfassen.
Bereits 2019 hat der Europäische Gerichtshof (EuGH) dazu ein Urteil gefällt, worauf sich dieses nationale Urteil des BAG nun stützt. Die Folgen dieses Urteils sind laut Experten weitreichend. Vor allem der Schutz der Arbeitnehmenden wird hierbei in den Vordergrund gestellt. So soll zunehmend verhindert werden, dass diese mehr arbeiten als vertraglich vereinbart. Um das gewährleisten zu können, werden Angestellte, allerdings stärker von den Arbeitgebern kontrolliert.
Im April 2023 legte das Bundesministerium für Arbeit und Soziales (BMAS) den Referentenentwurf eines Gesetzes zur Änderung des Arbeitszeitgesetzes vor, um konkrete Regelungen für die Erfassung der Arbeitszeit zu schaffen. Denn bisher fehlen klare Regelungen und Angaben dazu, wie die Zeiterfassung durchgeführt werden soll.
Das sind die wichtigsten Vorgaben:
- Arbeitgeber müssen Beginn, Ende und Dauer der täglichen Arbeitszeit der Arbeitnehmer am Tag der Arbeitsleistung elektronisch erfassen. „Elektronisch“ meint dabei neben Zeiterfassungstools und -apps auch Tabellenkalkulationsprogramme.
- Die Pflicht zur Arbeitszeiterfassung in elektronischer Form gilt erst ein Jahr nach Inkrafttreten des Gesetzes, bei Unternehmen mit weniger als 250 Angestellten sind es zwei Jahre, bei weniger als 50 Beschäftigten fünf.
- Die Aufbewahrungsfrist richtet sich nach der Dauer des Beschäftigungsverhältnisses und beträgt maximal zwei Jahre.
- Die Zeiterfassung kann durch Arbeitnehmer oder Dritte erfolgen, also zum Beispiel durch den Vorgesetzten.
- Arbeitnehmer dürfen verlangen, über die aufgezeichnete Arbeitszeit informiert zu werden, zum Beispiel in Form einer Kopie der Aufzeichnungen.
Die Entscheidung, dass Arbeitszeiten elektronisch erfasst werden müssen, ist in Zeiten von Digitalisierung und Homeoffice nachvollziehbar. Laut einer Umfrage des Digitalverbands Bitkom setzen bereits 28 Prozent der Unternehmen, die die Arbeitszeit bereits erfassen, ein elektronisches System ein, bei dem die Zeiten per PC oder Smartphone erfasst werden. Bei 16 Prozent der Unternehmen erfolgt die Zeiterfassung allerdings noch handschriftlich.
Arbeitszeiterfassung & Datenschutz: Die größten Herausforderungen für Unternehmen
Die Vorteile von digitalen Zeiterfassungssystemen sind einleuchtend: Durch Chipkarten oder Transponder wird die geleistete Arbeitszeit bis auf die Minute genau für alle Beteiligten nachvollziehbar registriert. Unternehmen sparen dadurch viel Geld und Aufwand. Gleichzeitig stehen die Verantwortlichen in Betrieben aber vor der Herausforderung, auch bei der elektronischen Arbeitszeiterfassung den Datenschutz ihrer Mitarbeiter:innen sicherzustellen.
Datenschutz-Grundverordnung & Zeiterfassung: Sind Arbeitszeiten personenbezogene Daten?
Gemäß Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Der Europäische Gerichtshof (EuGH) hat 2013 festgestellt, dass aufgezeichnete Arbeitszeiten mit Angabe der Uhrzeit, zu der ein Arbeitnehmer seine Arbeit aufnimmt oder beendet, und Pausen unter diesen Begriff fallen.
Somit betrifft der Datenschutz auch die Zeiterfassung der Mitarbeiter. Das bedeutet, Unternehmen müssen Angaben zu Arbeitszeiten gemäß der DSGVO schützen. Denn theoretisch können die Aufzeichnungen durch Chips oder Apps im Handy dazu verwendet werden, das Arbeitsverhalten von Angestellten durch das Erstellen von Bewegungsprofilen zu kontrollieren.
Außerdem müssen Betriebe dafür sorgen, dass die Daten ihrer Mitarbeiter:innen vor Hackerangriffen geschützt sind. Falls für die Arbeitszeiterfassung biometrische Merkmale der Angestellten verwendet werden, hätte ein Datendiebstahl weitreichende Folgen. Der Datenschutz seitens des Unternehmens basiert auch hier auf den gültigen Gesetzesgrundlagen.
Was ist im Rahmen der DSGVO grundsätzlich bei der digitalen Zeiterfassung zu beachten?
Die Datenverarbeitung mittels digitaler Zeiterfassung ist in der Regel für die Durchführung des Beschäftigungsverhältnisses erforderlich und damit nach § 26 I BDSG zulässig. Eine elektronische Dokumentation von Arbeitsbeginn und -ende ermöglicht die faire Abrechnung von Regelarbeitszeit bzw. geleisteten Überstunden und geschieht so auch im Sinne aller Arbeitnehmer:innen.
Doch gerade bei digital erfassten Daten bestehen Datenschutz- und arbeitsrechtliche Risiken.
Wie bei jeder Datenverarbeitung müssen auch bei der digitalen Zeiterfassung die Grundprinzipen aus Art. 5 Abs. 1 DSGVO eingehalten werden. Wichtig für die Vereinbarkeit von DSGVO und Arbeitszeiterfassung sind deshalb insbesondere folgende Grundsätze:
- Zweckbindung die besagt, dass Daten, die zu einem bestimmten Zweck erhoben werden, auch nur für diesen verwendet werden dürfen,
- Datenminimierung, die besagt, dass die Datenverarbeitung verhältnismäßig und auf das notwendige Maß beschränkt sein muss,
- Speicherbegrenzung, die dazu verpflichtet Daten nicht unbegrenzt aufzubewahren, sondern zu löschen, sobald sie nicht mehr benötigt werden.
Ebenso müssen arbeitsrechtliche Grundsätze datenschutzrechtlich berücksichtigt werden. Deshalb müssen anlasslose und dauerhafte Leistungs- und Verhaltenskontrollen sowie ein dadurch entstehender Überwachungsdruck durch eine datenschutzkonforme Ausgestaltung der Datenverarbeitungsprozesse verhindert werden.
Zudem müssen geeignete technische und organisatorische Maßnahmen zum Schutz der Daten ergriffen werden, insbesondere durch Ausgestaltung der internen Zugriffsberechtigungen (Need-to-know-Prinzip) und Umsetzung von IT-Sicherheitsmaßnahmen gegen Angriffe von außen.
Wichtig: Unternehmen müssen ihre Angestellten über Datenschutz und ihre Rechte informieren. Wir bieten Ihnen ein kostenloses Muster für die Datenschutzerklärung für Mitarbeiter an.
Sonderfall: Was gilt bei der biometrischen Zeiterfassung?
Verwendet ein Unternehmen biometrische Merkmale wie Scans der Iris oder Fingerabdrücke, kann die elektronische Zeiterfassung den Datenschutz der Mitarbeiter:innen gefährden. Zwar bieten biometrische Daten den Vorteil, dass Arbeitszeiten und Angestellte einander eindeutig zugeordnet werden können. Dies verhindert Manipulation oder Missverständnisse, was die Nerven aller Beteiligten schont und Zeit spart. Außerdem können diese Merkmale, anders als Chipkarten und andere Medien zur Arbeitszeiterfassung, verloren gehen oder defekt sein.
Voraussetzung für biometrische Zeiterfassung: Datenschutz und Sicherheit vereinbaren
Trotzdem gilt: biometrische Daten sind sogenannte besondere personenbezogene Daten, die nur unter noch strengeren Bedingungen erhoben werden dürfen. Die Erhebung und Verarbeitung dieser sensiblen Daten ist nach § 26 Abs. 3 BDSG erlaubt, wenn sie zur Ausübung oder Erfüllung der Rechte und Pflichten innerhalb eines Arbeitsverhältnisses erforderlich ist. Hierbei muss die Herausgabe besonders schützenswerter Daten und das nötige Maß an Sicherheit für den Betrieb in angemessener Relation stehen.
Der Zugang zu einem besonders sicherungsbedürftigen Arbeitsplatz im Chemielabor spricht also eher für die Erfassung biometrischer Daten als ein Architektur-Büro, bedarf aber aufgrund der Sensibilität der Daten in jedem Fall einer Einzelfallbeurteilung.
DSGVO & Arbeitszeiterfassung: So setzen Sie beides sicher um
Der Einsatz von digitalen Arbeitszeiterfassungssystemen reduziert den Aufwand der Zeiterfassung und schafft Transparenz. Elektronische Zeiterfassung kann also für alle Beteiligten von Vorteil sein. Voraussetzung ist, dass die Zeiterfassung DSGVO konform verläuft. Dafür müssen die Betriebsleitung, gegebenenfalls der Betriebsrat und die Mitarbeiter:innen transparent zusammenarbeiten.
Außerdem sollten Unternehmen die rechtliche Entwicklung bei der Arbeitszeiterfassung im Blick behalten. Gemeinsam mit ihrem Datenschutzbeauftragten sollten Arbeitgeber ein Konzept entwickeln, das elektronische Zeiterfassung und Datenschutz in Einklang bringt. Nicht vergessen: Die Zeiterfassung über elektronische Systeme müssen Unternehmen im Verarbeitungsverzeichnis dokumentieren.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.