Zum Hauptinhalt springen
Zeiterfassungsgesetz.de
Zeiterfassungsgesetz

Datenschutz bei der Zeiterfassung: DSGVO-Anforderungen

Zeiterfassung und Datenschutz: DSGVO-Anforderungen verstehen und umsetzen. Mit Checkliste für datenschutzkonforme Zeiterfassung.

6 Min. Lesezeit
Schloss-Symbol für Datenschutz bei digitaler Zeiterfassung

Datenschutz bei der Zeiterfassung: DSGVO-Anforderungen

Zeiterfassungsdaten sind personenbezogene Daten und unterliegen dem Datenschutz. Dieser Guide erklärt, wie Sie Zeiterfassung DSGVO-konform gestalten.

Das Wichtigste in Kürze

  • Arbeitszeitdaten sind personenbezogene Daten nach DSGVO
  • Die Verarbeitung ist durch das Arbeitsverhältnis gerechtfertigt
  • Datensparsamkeit: Nur notwendige Daten erfassen
  • Mitarbeiter haben Auskunfts- und Löschungsrechte
  • Aufbewahrungsfristen einhalten, danach löschen

Rechtlicher Hinweis

Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte wenden Sie sich bitte an einen Fachanwalt für Datenschutzrecht.

Zeiterfassungsdaten als personenbezogene Daten

Was sind personenbezogene Daten?

Nach Art. 4 DSGVO sind personenbezogene Daten:

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Welche Zeiterfassungsdaten sind betroffen?

DatenartPersonenbezug
Arbeitszeit (Beginn, Ende)Ja
PausenzeitenJa
ÜberstundenJa
ProjektzuordnungJa
Standortdaten (GPS)Ja, besonders sensibel
Biometrische DatenJa, besondere Kategorie

Besondere Kategorien personenbezogener Daten

Art. 9 DSGVO schützt besonders sensible Daten:

Biometrische Daten:

  • Fingerabdruck
  • Gesichtserkennung
  • Iris-Scan

Für diese gelten:

  • Höhere Hürden für die Verarbeitung
  • Ausdrückliche Einwilligung erforderlich
  • Besondere Schutzmaßnahmen

Rechtsgrundlage für die Verarbeitung

Durchführung des Arbeitsvertrags (Art. 6 Abs. 1 lit. b DSGVO)

Die Hauptrechtsgrundlage für Zeiterfassung:

Begründung:

  • Arbeitsvertrag verpflichtet zur Arbeitsleistung
  • Arbeitgeber muss Arbeitszeit erfassen (gesetzliche Pflicht)
  • Lohnabrechnung erfordert Zeitdaten

Keine Einwilligung nötig für:

  • Grundlegende Zeiterfassung
  • Erfassung für Lohnabrechnung
  • Gesetzlich geforderte Dokumentation

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Zusätzliche Rechtsgrundlage:

Gesetzliche Pflichten:

  • Arbeitszeitgesetz (Dokumentation)
  • Mindestlohngesetz (Aufzeichnungspflicht)
  • Arbeitsschutzgesetz (nach BAG-Urteil)

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Für erweiterte Funktionen:

Mögliche berechtigte Interessen:

  • Projektzeiterfassung für Abrechnung
  • Auswertungen für Personalplanung
  • Überstundenkontrolle

Abwägung erforderlich:

  • Interessen des Arbeitgebers
  • vs. Interessen der Mitarbeiter
  • Verhältnismäßigkeit prüfen

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)

Bei besonderen Daten erforderlich:

Einwilligung nötig für:

  • Biometrische Erfassung (Fingerabdruck etc.)
  • GPS-Tracking über das Notwendige hinaus
  • Freiwillige Zusatzfunktionen

Anforderungen an Einwilligung:

  • Freiwillig
  • Informiert
  • Jederzeit widerrufbar
  • Dokumentiert

Tipp

Bieten Sie bei biometrischer Erfassung immer eine Alternative an (z.B. PIN-Eingabe). Nur so ist die Einwilligung wirklich freiwillig.

DSGVO-Grundsätze anwenden

Datensparsamkeit

Art. 5 Abs. 1 lit. c DSGVO: Nur notwendige Daten erfassen.

Erlaubt:

  • Beginn, Ende, Dauer der Arbeitszeit
  • Pausenzeiten
  • Projektzuordnung (wenn geschäftlich erforderlich)

Kritisch/Überflüssig:

  • Permanente GPS-Verfolgung
  • Screenshots des Bildschirms
  • Tastaturanschläge
  • Webcam-Überwachung

Zweckbindung

Art. 5 Abs. 1 lit. b DSGVO: Nur für festgelegte Zwecke nutzen.

Zulässige Zwecke:

  • Arbeitszeitdokumentation
  • Lohnabrechnung
  • Projektcontrolling
  • Arbeitsschutz

Unzulässig ohne weitere Grundlage:

  • Leistungsbewertung einzelner Mitarbeiter
  • Überwachung des Verhaltens
  • Weitergabe an Dritte

Speicherbegrenzung

Art. 5 Abs. 1 lit. e DSGVO: Nicht länger als nötig speichern.

Aufbewahrungsfristen:

DatenartFristGrundlage
Arbeitszeitnachweis2 Jahre§ 16 ArbZG
Lohnunterlagen6 Jahre§ 147 AO
Steuerrelevante Daten10 Jahre§ 147 AO

Nach Ablauf: Löschen oder anonymisieren

Integrität und Vertraulichkeit

Art. 5 Abs. 1 lit. f DSGVO: Angemessene Sicherheit.

Technische Maßnahmen:

  • Verschlüsselung (Übertragung und Speicherung)
  • Zugriffskontrollen
  • Sichere Authentifizierung
  • Backup und Wiederherstellung

Organisatorische Maßnahmen:

  • Berechtigungskonzept
  • Schulung der Mitarbeiter
  • Vorfallmanagement
  • Dokumentation

Rechte der Mitarbeiter

Informationspflicht (Art. 13/14 DSGVO)

Mitarbeiter müssen informiert werden über:

  • Welche Daten werden erfasst?
  • Zu welchem Zweck?
  • Auf welcher Rechtsgrundlage?
  • Wie lange werden sie gespeichert?
  • Wer hat Zugriff?
  • Welche Rechte bestehen?

Umsetzung:

  • Datenschutzhinweis bei Einführung
  • Information im Intranet
  • Teil der Betriebsvereinbarung

Auskunftsrecht (Art. 15 DSGVO)

Mitarbeiter können Auskunft verlangen:

  • Welche Daten sind gespeichert?
  • Zu welchem Zweck?
  • An wen wurden sie weitergegeben?

Frist: 1 Monat, verlängerbar auf 3 Monate

Tipp: Moderne Zeiterfassungssysteme bieten Self-Service: Mitarbeiter können ihre Daten jederzeit selbst einsehen.

Recht auf Berichtigung (Art. 16 DSGVO)

Mitarbeiter können Korrektur verlangen bei:

  • Falschen Daten
  • Unvollständigen Daten

Umsetzung:

  • Korrekturworkflow im System
  • Dokumentation der Änderungen
  • Prüfung durch Vorgesetzten

Recht auf Löschung (Art. 17 DSGVO)

Löschung möglich, wenn:

  • Zweck entfallen ist
  • Aufbewahrungsfrist abgelaufen
  • Einwilligung widerrufen (bei Einwilligung)

Einschränkung: Solange gesetzliche Aufbewahrungspflichten bestehen, keine Löschung.

Besondere Themen

GPS-Tracking und Standortdaten

Wann zulässig?

  • Nachweisbares berechtigtes Interesse
  • Keine geringeren Mittel möglich
  • Nur bei Buchung, nicht permanent

Einwilligung erforderlich bei:

  • Permanenter Überwachung
  • Erfassung über das Notwendige hinaus

Best Practice:

  • Standort nur bei Stempeln erfassen
  • Nicht kontinuierlich tracken
  • Transparenz über Nutzung

Biometrische Zeiterfassung

Besonders streng reguliert:

  • Art. 9 DSGVO: Besondere Kategorie
  • Ausdrückliche Einwilligung
  • Alternative anbieten (z.B. PIN)

Verhältnismäßigkeitsprüfung:

  • Ist Fingerabdruck wirklich nötig?
  • Oder reicht Chip/PIN?
  • Sicherheitsbedürfnis abwägen

Cloud-Lösungen und Auftragsverarbeitung

Bei externen Anbietern:

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO:

  • Pflichten des Anbieters
  • Technische Maßnahmen
  • Subunternehmer
  • Löschung nach Vertragsende

Serverstandort:

  • EU bevorzugt (DSGVO gilt)
  • Drittländer nur mit Garantien (z.B. Standardvertragsklauseln)
  • Prüfung des Anbieters

Betriebsrat und Datenschutz

Mitbestimmung bei:

  • Einführung von Zeiterfassungssystemen
  • Art der erfassten Daten
  • Auswertungsmöglichkeiten

Betriebsvereinbarung kann regeln:

  • Umfang der Erfassung
  • Zugriffsrechte
  • Auswertungen
  • Löschfristen

Checkliste: DSGVO-konforme Zeiterfassung

Bei der Einführung

☐ Rechtsgrundlage geprüft ☐ Datenschutzfolgenabschätzung (bei Bedarf) ☐ Mitarbeiter informiert ☐ Betriebsrat einbezogen ☐ AVV mit Anbieter geschlossen

Im Betrieb

☐ Nur notwendige Daten erfasst ☐ Zugriffe auf Berechtigte beschränkt ☐ Mitarbeiter können eigene Daten einsehen ☐ Korrekturen möglich ☐ Technische Sicherheit gewährleistet

Bei der Datenhaltung

☐ Aufbewahrungsfristen dokumentiert ☐ Automatische Löschung eingerichtet ☐ Keine Nutzung für andere Zwecke ☐ Sichere Speicherung

Häufige Fragen zum Datenschutz bei Zeiterfassung

Für die grundlegende Zeiterfassung nicht – sie ist durch das Arbeitsverhältnis und gesetzliche Pflichten gerechtfertigt. Einwilligung brauchen Sie für biometrische Daten (Fingerabdruck), GPS-Tracking über das Notwendige hinaus und freiwillige Zusatzfunktionen.
Nur im Rahmen ihrer Führungsaufgaben. Ein Abteilungsleiter darf die Daten seiner Mitarbeiter sehen, nicht aber die anderer Abteilungen. Das Berechtigungskonzept sollte den Zugriff auf das Notwendige beschränken.
Die gesetzliche Mindestfrist beträgt 2 Jahre (ArbZG). Für Lohnzwecke gelten längere Fristen (6-10 Jahre). Nach Ablauf dieser Fristen müssen Sie die Daten löschen oder anonymisieren.
Anbieter innerhalb der EU sind unproblematisch. Bei Anbietern in Drittländern (z.B. USA) müssen zusätzliche Garantien vorliegen (Standardvertragsklauseln, andere Rechtsgrundlagen). Prüfen Sie den Anbieter sorgfältig.

Fazit

Datenschutz und Zeiterfassung lassen sich gut vereinbaren. Die DSGVO verbietet keine Zeiterfassung, sondern gibt einen Rahmen vor: Nur notwendige Daten, klar definierte Zwecke, angemessene Sicherheit und Respekt für die Rechte der Mitarbeiter. Mit dem richtigen System und klaren Prozessen erfüllen Sie alle Anforderungen.

DSGVO-konforme Zeiterfassung

MyTimeTracker ist nach höchsten Datenschutzstandards entwickelt: Deutsche Server, DSGVO-konform, Auftragsverarbeitungsvertrag inklusive.

  • Deutsche Cloud
  • DSGVO-konform
  • AVV inklusive
Kostenlos testen

Zeiterfassung starten

14 Tage kostenlos testen

Kostenlos testen

Weiterlesen

Zeiterfassungsgesetz

Zeiterfassungspflicht in Deutschland: Der komplette Guide

Alles zur Zeiterfassungspflicht in Deutschland: BAG-Urteil, gesetzliche Anforderungen, Ausnahmen und praktische Umsetzung für Arbeitgeber.

Artikel lesen

Zeiterfassungsgesetz

Elektronische Zeiterfassung: Wird sie 2026 Pflicht?

Elektronische Zeiterfassung wird voraussichtlich 2026 Pflicht. Erfahren Sie den aktuellen Stand und wie Sie sich vorbereiten.

Artikel lesen

Zeiterfassungsgesetz

Betriebsrat und Zeiterfassung: Mitbestimmungsrechte

Betriebsrat bei der Zeiterfassung: Welche Mitbestimmungsrechte bestehen und wie Sie den Betriebsrat erfolgreich einbinden.

Artikel lesen

Zeiterfassung einfach & gesetzeskonform

Starten Sie jetzt mit MyTimeTracker und erfüllen Sie alle gesetzlichen Anforderungen. 14 Tage kostenlos testen, keine Kreditkarte erforderlich.

  • Sofort einsatzbereit
  • DSGVO-konform
  • Keine Einrichtung nötig
Kostenlos testen