Mit der DSGVO musste auch das Thema Zeiterfassung neu betrachtet werden – denn bei Zeitkonten handelt es sich um personenbezogene Daten, die den Regelungen der Datenschutz-Grundverordnung unterliegen. Hier müssen Unternehmen also gewährleisten, dass die Daten sicher und den Vorschriften entsprechend gespeichert werden.
Was ist die DSGVO?
Die DSGVO (kurz für Datenschutz-Grundverordnung) bezeichnet eine Verordnung der Europäischen Union, in der der Umgang mit personenbezogenen Daten für den öffentlichen Raum geregelt ist. Sie gilt seit dem 25. Mai 2018 mit dem Ziel, Datenschutzrichtlinien in der EU zu vereinheitlichen, da die Vorgehensweisen vorher stark voneinander abwichen.
Für wen gilt die Datenschutz-Grundverordnung?
Die Verordnung gilt für Konzerne, Unternehmen, Behörden, Praxen sowie Vereine und sowohl innerhalb als auch außerhalb der Europäischen Union. Außerhalb gelten die Vorschriften der DSGVO etwa, sobald personenbezogene Daten von EU-Bürger verarbeitet werden oder die datenverarbeitende Instanz eine Niederlassung innerhalb der EU betreibt. Sie gilt jedoch nicht für persönliche oder rein familiäre Zwecke.
Wie definieren sich personenbezogene Daten?
Personenbezogene Daten sind Informationen, die sich auf eine natürliche identifizierbare Person beziehen. Sie ist dann identifizierbar, wenn anhand konkreter Kriterien die Möglichkeit besteht, sie zu identifizieren, zu bestimmen oder zu klassifizieren. Das können etwa der Name, die Personalnummer, das Aussehen, aber auch die individuellen Zeitdaten der Person sein.
Zeiterfassung und DSGVO: Personenbezogene Daten
Auch anhand der individuellen Zeitkonten wäre es möglich, eine Person zu identifizieren. Genau deshalb unterliegt die Zeiterfassung der DSGVO. Was ist bei der Zeiterfassung erlaubt und was nicht? Das ist eine Frage, mit der sich Unternehmen daher auseinandersetzen müssen, um die Regularien bestmöglich einzuhalten. Das Ziel ist immer eine korrekte, objektive und genaue Erfassung, die zudem zugänglich und systematisch erfolgt – das ist durch das EuGH-Urteil zur Arbeitszeiterfassung vorgesehen.
Sichere Zeitwirtschaftslösung von GFOS entdecken
Erfahren Sie, wie Sie mit GFOS sicher und datenschutzkonform die Zeiten Ihrer Mitarbeiter erfassen können.
Die Arbeitszeiterfassung der Mitarbeitenden muss sich an den Vorgaben der DSGVO orientieren; Bild © Pexels.com
Wichtige Informationen zur Datenverarbeitung
Die Aufzeichnungen über die individuellen Arbeitsstunden müssen Betriebe für mindestens zwei Jahre aufbewahren (§ 21a Absatz 3 Satz 7). Sie dienen Arbeitgebenden und Beschäftigten als Nachweis über erbrachte Stunden. Das ist wichtig, falls es einmal zu Unstimmigkeiten kommt, wie etwa in einem Fall, bei dem das Arbeitsgericht Emden im Februar 2020 aufgrund von Aufzeichnungen eines Mitarbeitenden zu dessen Gunsten entschied.
Zum einen sieht das Arbeitszeitgesetz vor, die Zeiten der Beschäftigten aufzuzeichnen - zumindest in einigen Fällen. Weitere Gesetzesanpassungen aufgrund des EuGH-Urteils sind noch zu erwarten. Zum anderen benötigen Unternehmen auch aufgrund von neuen Zeitmodellen bzw. Lohn- und Gehaltsabrechnung eine genaue Aufzeichnung der Arbeitsstunden. Dazu müssen Beschäftigte nicht einwilligen. Dennoch muss die Zeiterfassung nach den Richtlinien der DSGVO erfolgen. Das sind die folgenden:
- Die Speicherung der Zeitdaten muss rechtmäßig und transparent erfolgen. Die Informationen über die Datenverarbeitung müssen für die Betroffenen leicht zugänglich sein.
- Es muss ein klarer Zweck für die Aufzeichnung der Arbeitszeiten bestehen – etwa zur Lohn- und Gehaltsabrechnung oder durch die Verpflichtung der Arbeitgeber
- Die erhobenen Daten müssen korrekt sein. Zudem dürfen nur so viele Daten wie nötig erhoben werden.
- Die Speicherung der erhobenen Informationen darf nur so lange erfolgen, wie für den Zweck erforderlich.
- Die Speicherung muss vertraulich erfolgen, sodass keine dritte Person Zugriff auf die Informationen hat. Ebenso muss sichergestellt werden, dass die Daten nicht verloren gehen oder manipuliert werden können.
- Auf Anfrage müssen Unternehmen nachweisen können, dass Datenschutzrichtlinien eingehalten werden.
IT-Sicherheit und DSGVO gehen Hand in Hand
Neben der DSGVO ist bei der Zeiterfassung auch die IT-Sicherheit der eingesetzten Methoden von großer Bedeutung. Speichert der Arbeitgebende die Zeitkonten mithilfe eines Software zur Zeiterfassung, muss er sicherstellen, dass die Daten vertraulich verarbeitet werden. Bestenfalls liegen die Server in Deutschland – dann können Unternehmen sicher sein, dass die Vorschriften der Datenschutz-Grundverordnung eingehalten werden. Einige Zeiterfassungsanbieter verfügen zudem über eine ISO-27001-Zertifizierung – diese belegt die Einhaltung von Richtlinien zur Informationssicherheit im Betrieb.
DSGVO-konforme Zeiterfassung Ihrer Mitarbeiter: Was ist erlaubt?
Ob Chipkarte, Fingerabdruck, Transponder oder mobile Zeiterfassung mit App: Bei all diesen Methoden werden personenbezogene Daten erhoben, die der DSGVO unterliegen. Was ist erlaubt und was muss datenschutzrechtlich beachtet werden? Wir fassen die wichtigsten Informationen unten für Sie zusammen.
Ist Zeiterfassung mit GPS erlaubt?
Für viele Bereiche, z. B. bei der mobilen Zeiterfassung auf der Baustelle, ist eine zusätzliche GPS-Information erforderlich oder gewünscht. So kann der Betrieb sichergehen, dass nicht zu viel Zeit für Fahrtzeiten dokumentiert wird und eine genaue Projektdokumentation gewährleisten. Für die GPS-Arbeitszeiterfassung gilt jedoch: Mitarbeiter müssen die GPS-Aufzeichnung selbst auslösen können. Dazu muss eine Berechtigung in der App und eine Möglichkeit des An- und Ausschaltens dieser Berechtigung vorliegen. Die GPS-Aufzeichnung beruht also auf freiwilliger Zustimmung der Beschäftigten.
Arbeitszeiterfassung mit Fingerabdruck
Auch die Stundenerfassung mithilfe eines Terminals mit Fingerabdruck-Sensor ist möglich. Dennoch haben Unternehmen laut einem Urteil des Arbeitsgerichts Berlin aus dem Jahr 2019 kein Recht auf die Erhebung biometrischer Daten: Bei biometrischen Daten handelt es sich nämlich um besondere personenbezogene Informationen, die eben auch einem besonderen Schutz unterliegen. Der Erfassung der biometrischen Informationen müssen Beschäftigte laut Art. 9 Abs. 1 DSGVO gesondert zustimmen. Für die Zeiterfassung ist eine solche Methode also eher ungeeignet. Sie eignet sich eher für die Absicherung besonders schützenswerter Bereiche am Unternehmensstandort mittels Zutrittskontrollsoftware – beispielsweise einem Serverraum.
Video- oder Computerüberwachung am Arbeitsplatz
Video- oder Computerüberwachung der Mitarbeiter können Einschnitte in die Persönlichkeitsrechte bedeuten. Auf diese Weise kann man zwar feststellen, wer wann anwesend war, jedoch ist das aufgrund datenschutzrechtlicher Bestimmungen nicht zulässig. Die Videoüberwachung der Unternehmensräume darf nur in bestimmten öffentlichen Bereichen und ohne Tonaufnahme erfolgen. Außerdem muss ein Hinweisschild angebracht werden.
Auch über Trackingsoftware am Computer können die Arbeitszeiten der Mitarbeiter theoretisch ausgewertet werden. Jedoch ist eine dauerhafte oder heimliche Computerüberwachung aus datenschutzrechtlichen Gründen nicht zulässig. Einzig das Ein- und Ausstempeln mithilfe einer Zeiterfassungssoftware am PC oder an einem anderen Gerät ist allerdings erlaubt.
Betriebsrat und Arbeitszeiterfassung
Der Betriebsrat bekommt laut § 87 Abs. 1 Nr. 6 BetrVG bei der Einführung eines Zeiterfassungssystems ein Mitbestimmungsrecht. Dieses bezieht sich auf die Nutzung von Systemen, die dazu dienen, Verhalten bzw. Leistungen von Beschäftigten zu überwachen. Dabei hat auch der Betriebsrat zu beachten, was bei der DSGVO-konformen Zeiterfassung erlaubt ist und was nicht. Darüber hinaus muss die Vereinbarung zwischen dem Arbeitgebenden und dem Betriebsrat folgende Punkte zur Arbeitszeiterfassung beinhalten:
- Definition der Daten und Zweck der Erfassung
- Zugriffsrechte und Auswertungen zur Zeiterfassung
- Regelung über GPS-Standortübertragung bei der Erfassung
Damit bei der Stundenerfassung nichts schiefläuft, sollten Unternehmen wichtige Vorschriften beachten; Bild © GFOS mbH
Zusammenfassung: Zeiterfassung DSGVO-konform nutzen
- Die Erfassung der Arbeitszeiten muss den Regeln der DSGVO folgen und bestenfalls gleichzeitig ISMS-Regularien (Information Security Management System) beachten. Das betrifft etwa den Speicherort und die Speicherdauer der Informationen.
- Eine Einwilligung der Beschäftigten ist für die Arbeitszeiterfassung einzuholen.
- Die Erfassung von biometrischen Daten benötigt eine gesonderte Einwilligung der Mitarbeiter.
- Video- und Computerüberwachung sind nur in wenigen Fällen zulässig.
- Mitarbeiter müssen der Übermittlung von GPS-Standortdaten zur Zeiterfassung zustimmen.
- Der Betriebsrat hat ein Mitbestimmungsrecht bei der Aufzeichnung von Leistung und Verhalten der Beschäftigten.
Verlassen Sie sich auf über 35 Jahre Expertise made in Germany
Die GFOS ist seit über 35 Jahren mit Expertise zum Thema Workforce Management und Zeitwirtschaft am Markt vertreten. Verschiedene Zertifizierungen, Schnittstellen und Datencenter in Deutschland sorgen dafür, dass bei Zeiterfassung mit unserer Software alles zur DSGVO eingehalten werden kann. Wir verfolgen jederzeit aktuelle Gesetze und Regularien, sodass unsere IT-Experten immer informiert sind, was erlaubt ist. Tarifliche, gesetzliche und betriebliche Anforderungen lassen sich somit problemlos mit unseren Systemen abbilden. Überzeugen Sie sich selbst von den GFOS-Lösungen und vereinbaren Sie einen unverbindlichen Beratungstermin.
Lassen Sie sich beraten
Unsere Experten für Zeiterfassung beraten Sie bei der Einführung einer sicheren Lösung zur Stundenerfassung in Ihrem Unternehmen.
+++ Die Inhalte dieses Beitrags und insbesondere die rechtlichen Aspekte wurden mit bestem Wissen und Gewissen recherchiert und stellen keine Rechtsberatung dar. Die GFOS mbH kann daher keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen übernehmen. Für konkrete Rechtsfragen konsultieren Sie bitte in jedem Fall einen Rechtsanwalt / eine Rechtsanwältin. +++