Zeiterfassung und Datenschutz: So erfüllen Sie alle Anforderungen der DSGVO

Arbeitszeiten erfassen – klingt simpel. Doch in der Praxis lauert ein komplexes Thema: der Datenschutz. Wenn Sie ein Zeiterfassungssystem einführen möchten, kommen Sie an der DSGVO nicht vorbei. Dieser Beitrag erklärt Ihnen, welche Vorgaben gelten, wie Sie typische Fallstricke vermeiden – und welche Lösungen eine datenschutzkonforme Umsetzung erleichtern.

Warum unterliegt die Arbeitszeiterfassung dem Datenschutz?

Sobald Sie Arbeitszeiten erfassen – sei es mit Papierlisten oder digital –, betreten Sie datenschutzrechtlich sensibles Terrain. Denn Arbeitszeiten sind personenbezogene Daten, die Rückschlüsse auf Verhalten, Leistung und Einsatz einzelner Mitarbeitenden zulassen. Deshalb unterliegen sie der Datenschutz-Grundverordnung (DSGVO).

Ob Sie klassische Zeiterfassungsgeräte oder moderne Apps nutzen: Sobald Daten elektronisch gespeichert oder verarbeitet werden, greifen die Regeln der DSGVO. Und die stellen klare Anforderungen an Sie als Arbeitgeber: Sie müssen dafür sorgen, dass nur notwendige Daten erhoben, sicher verarbeitet und transparent kommuniziert werden.

Welche Datenschutzanforderungen stellt die DSGVO an Zeiterfassungssysteme?

Wenn Sie in Ihrem Unternehmen Zeiterfassung einsetzen, ist eines klar: Die DSGVO verlangt eine durchdachte und datenschutzgerechte Gestaltung Ihres Systems. Folgende Prinzipien sollten Sie unbedingt beachten:

• Zweckbindung: Nutzen Sie Daten ausschließlich für klar definierte Zwecke – etwa die Lohnabrechnung, gesetzliche Nachweispflichten oder Projektabrechnungen.
• Datenminimierung: Erheben Sie wirklich nur die Daten, die Sie unbedingt brauchen.
• Transparenz: Ihre Mitarbeitenden sollen jederzeit nachvollziehen können, welche Daten sie erfassen, zu welchem Zweck – und wer darauf Zugriff hat.
• Integrität und Vertraulichkeit: Achten Sie darauf, dass nur befugte Personen auf sensible Informationen zugreifen können.
• Speicherbegrenzung: Löschen Sie Daten konsequent, sobald sie für den definierten Zweck nicht mehr erforderlich sind – natürlich unter Beachtung gesetzlicher Aufbewahrungspflichten.
• Rechenschaftspflicht: Halten Sie alle Maßnahmen so fest, dass Sie jederzeit zeigen können: Wir handeln DSGVO-konform.

Zweckbindung und Datensparsamkeit bei der Datenerfassung

Fragen Sie sich am besten schon vor der Einführung eines Zeiterfassungssystems: Welche Informationen benötigen Sie tatsächlich – und auf welche können Sie verzichten? Definieren Sie den Zweck Ihrer Datenerhebung genau und halten Sie diese fest. Jede zusätzliche Nutzung – etwa zur Leistungskontrolle – erfordert eine eigene rechtliche Grundlage oder eine explizite Einwilligung.

Zweckänderungen sind nur unter engen rechtlichen Voraussetzungen möglich. Planen Sie daher vorausschauend, welche Daten für welche Zwecke erfasst werden sollen – und dokumentieren Sie dies nachvollziehbar.

Auch beim Thema Datensparsamkeit gilt: Erheben Sie nur das, was Sie wirklich benötigen. Müssen z. B. Projektzuordnungen, GPS-Daten oder Notizen erfasst werden – oder geht es auch ohne?

TimO unterstützt Sie genau dabei: Administrator:innen können Rollen und Rechte gezielt steuern, die Erfassungsarten konfigurieren und unnötige Datenfelder deaktivieren. So erfüllen Sie Ihre DSGVO-Pflichten auf technischer Ebene und halten Ihre Datenmengen schlank.

Weitere Datenschutzprinzipien im Detail

Transparenz bedeutet in der Praxis weit mehr als eine einmalige Information. Sorgen Sie dafür, dass Ihre Mitarbeitenden jederzeit nachvollziehen können, was mit ihren Daten geschieht. Integrieren Sie Datenschutz daher in Ihre tägliche Kommunikation – etwa über Self-Service-Portale, regelmäßige Schulungen oder klar verständliche Hinweise in der eingesetzten Software. Und vergessen Sie nicht: Wenn sich der Zweck der Datenverarbeitung ändert, müssen Sie erneut und transparent informieren.

Auch Integrität und Vertraulichkeit lassen sich nicht allein durch Technik gewährleisten. Sie brauchen ein gut durchdachtes Berechtigungskonzept mit abgestuften Zugriffsebenen und technischen Schutzmaßnahmen wie VPN, Geräteverschlüsselung oder Zwei-Faktor-Authentifizierung. Gerade in hybriden Arbeitsumgebungen ist das entscheidend, um unbefugte Zugriffe wirksam zu verhindern.

Speicherbegrenzung wird oft unterschätzt – dabei ist sie zentral für Ihre DSGVO-Konformität. Überlegen Sie genau, welche Daten wie lange benötigt werden. Legen Sie verbindliche Speicherfristen fest und setzen Sie automatisierte Löschroutinen ein. So bleiben Ihre Systeme aktuell – und Ihre Datenhaltung rechtssicher.

Die Rechenschaftspflicht schließlich verlangt, dass Sie nicht nur Maßnahmen umsetzen, sondern diese auch sauber dokumentieren. Führen Sie regelmäßige interne Audits durch, erstellen Sie Datenschutz-Folgenabschätzungen und pflegen Sie ein umfassendes Datenschutzkonzept. Damit sind Sie auch bei externen Prüfungen auf der sicheren Seite.

Welche personenbezogenen Daten werden bei der Zeiterfassung verarbeitet?

Wenn Sie Zeiten erfassen, arbeiten Sie mit personenbezogenen Daten, die laut DSGVO besonders schützenswert sind. Dazu gehören Informationen wie Arbeitsbeginn und -ende, Pausenzeiten, Überstunden, Fehlzeiten sowie projekt- oder standortbezogene Angaben – sofern sie einer bestimmten Person zugeordnet werden können.

In bestimmten Fällen verarbeiten Sie womöglich auch besonders sensible Daten. Das ist beispielsweise dann der Fall, wenn Sie biometrische Merkmale wie Fingerabdrücke oder GPS-Daten im mobilen Einsatz erfassen. Für diese Daten gelten besonders strenge Datenschutzvorgaben.

Datenschutzgerechte Zugriffskontrolle: Wer darf Zeiterfassungsdaten einsehen?

Ein zentrales Prinzip des Datenschutzes ist die Zugriffsbeschränkung auf das „Need-to-know“-Prinzip: Nur wer die Daten für einen berechtigten Zweck benötigt, darf sie einsehen.

Typische Zugriffsberechtigungen sind:

• Mitarbeitende: Zugriff auf die eigenen Arbeitszeiten und ggf. Urlaubskonto
• Vorgesetzte / Projektleitung: Zugriff auf Teamzeiten zur Kontrolle von Projektfortschritt oder Budget
• HR / Personalabteilung: Zugriff zur Entgeltabrechnung und Arbeitszeitkontrolle
• Betriebsrat (sofern vorhanden): Kontrollrecht im Rahmen der Mitbestimmung
• IT-Administration: Technischer Zugriff, aber nur im Rahmen der Aufgabenerfüllung

Ein System wie TimO ermöglicht eine feingranulare Rechtevergabe, bei der Sie jeder Benutzerrolle exakt zuweisen können, welche Daten sichtbar oder bearbeitbar sind – ein entscheidender Baustein für Ihre DSGVO-Konformität.

Wie lange dürfen Arbeitszeitdaten gespeichert werden?

Arbeitszeitdaten dürfen laut DSGVO nur so lange gespeichert werden, wie es für den jeweiligen Zweck erforderlich ist. Das bedeutet: Sobald die Daten für Lohnabrechnung, gesetzliche Nachweispflichten oder interne Auswertungen nicht mehr gebraucht werden, müssen sie gelöscht oder anonymisiert werden.

Für bestimmte Daten – etwa zu Überstunden, Arbeitszeitverstößen oder Projektabrechnungen – gelten gesetzliche Aufbewahrungsfristen. In Deutschland beträgt diese in der Regel mindestens zwei Jahre, bei steuerlich relevanten Daten sogar bis zu zehn Jahre.

Mit einem System wie TimO lässt sich die Speicherfrist über ein konfigurierbares Löschkonzept automatisiert umsetzen. Administrator:innen können Regeln definieren, wann und welche Daten archiviert oder gelöscht werden – revisionssicher und DSGVO-konform.

Biometrische Zeiterfassung: Was ist datenschutzrechtlich erlaubt?

Wenn Sie biometrische Zeiterfassungssysteme nutzen – etwa per Fingerabdruck oder Gesichtserkennung –, betreten Sie datenschutzrechtlich besonders sensibles Terrain. Denn biometrische Merkmale gelten nach Art. 9 DSGVO als „besondere Kategorien personenbezogener Daten“ und unterliegen besonders strengen Anforderungen.

Ein solcher Einsatz ist nur unter sehr engen rechtlichen Voraussetzungen erlaubt. Sie benötigen entweder einen ausdrücklichen gesetzlichen Erlaubnistatbestand oder eine freiwillige, informierte Einwilligung Ihrer Mitarbeitenden. Zusätzlich müssen Sie technische und organisatorische Schutzmaßnahmen ergreifen.

Beachten Sie unbedingt: Biometrische Daten dürfen nicht auf Grundlage eines bloß berechtigten Interesses verarbeitet werden – wie es bei anderen personenbezogenen Daten mitunter möglich ist. Ihre Mitarbeitenden müssen freiwillig einwilligen – ohne Druck oder Nachteile bei Ablehnung. Und Sie müssen eine gleichwertige Alternative anbieten – etwa per PIN, Chipkarte oder App.

Auch technisch gilt: Rohdaten dürfen nicht gespeichert werden. Biometrische Merkmale sind direkt in verschlüsselte Hashwerte umzuwandeln. Der Zugriff muss streng geregelt, protokolliert und regelmäßig geprüft werden. Zudem ist eine Datenschutz-Folgenabschätzung (DSFA) vorgeschrieben – zur Bewertung der Risiken und zur Dokumentation der Schutzmaßnahmen.

Wichtig ist auch die Einbettung in ein umfassendes Datenschutzkonzept. Prüfen Sie stets, ob es weniger eingriffsintensive Alternativen gibt (Verhältnismäßigkeit). Der Einsatz muss zweckgebunden, erforderlich und geeignet sein – reine Bequemlichkeit reicht als Begründung nicht aus.

Schließlich gilt: Auch der physische Zugang zu biometrischen Geräten muss gesichert sein – etwa durch Authentifizierungsverfahren und Geräteschutz. Nur so können Sie unbefugte Zugriffe oder Manipulationen wirksam ausschließen.

Besondere Schutzmaßnahmen für biometrische Daten

Wenn Sie biometrische Systeme einsetzen, müssen Sie zusätzlich dafür sorgen, dass:

• biometrische Hashwerte verschlüsselt und der Zugriff beschränkt wird,
• biometrische Daten getrennt von anderen Nutzerinformationen gespeichert werden,
• Sie regelmäßig eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchführen,
• und sämtliche Prozesse und Sicherheitsmaßnahmen lückenlos dokumentieren.

Tipp: Viele Unternehmen setzen daher lieber auf nicht-biometrische Zeiterfassungssysteme, z. B. per App oder RFID-Terminal.

Welche Rolle spielt der Betriebsrat bei der Einführung datenschutzkonformer Systeme?

Wenn Sie ein neues Zeiterfassungssystem einführen möchten, das personenbezogene Daten verarbeitet, hat der Betriebsrat ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Denn solche Systeme können das Verhalten oder die Leistung Ihrer Mitarbeitenden überwachen.

Konkret bedeutet das:

• Binden Sie den Betriebsrat frühzeitig in den Entscheidungsprozess ein.
• Legen Sie gemeinsam fest, welche Daten erfasst, wie sie verarbeitet und wer darauf zugreifen darf.
• Denken Sie daran: Auch der Einsatz biometrischer Verfahren oder mobiler Erfassungsmethoden erfordert die Zustimmung des Gremiums.

Wie setze ich als Unternehmen eine Zeiterfassung datenschutzkonform um?

Eine rechtssichere Zeiterfassung erfüllt nicht nur die Anforderungen des Arbeitszeitgesetzes, sondern auch die Vorgaben der DSGVO. Sie als Unternehmen sind verpflichtet, Arbeitszeiten korrekt, nachvollziehbar und datenschutzkonform zu dokumentieren – ohne dabei die Rechte Ihrer Mitarbeitenden zu verletzen.

Kernanforderungen für Unternehmen:

• Rechtsgrundlage klären: Definieren Sie, auf welcher Basis die Arbeitszeiterfassung erfolgt – etwa durch gesetzliche Vorgaben, arbeitsvertragliche Regelungen oder eine Betriebsvereinbarung.
• Transparente Information der Mitarbeitenden: Kommunizieren Sie klar und verständlich, welche Daten erfasst werden, zu welchem Zweck dies geschieht und wer Zugriff hat.
• Datenschutzkonforme Technik einsetzen: Sorgen Sie für technische Maßnahmen wie Zugriffsschutz, Protokollierung, Verschlüsselung und regelmäßige Sicherheitsupdates.
• Löschkonzept entwickeln und umsetzen: Legen Sie Aufbewahrungsfristen fest und automatisieren Sie Löschprozesse, sobald der Verarbeitungszweck entfällt.
• Biometrische Verfahren vermeiden, sofern sie nicht zwingend erforderlich sind – und bieten in jedem Fall gleichwertige Alternativen an.
• Mitarbeitende regelmäßig schulen: Sensibilisieren Sie alle Beteiligten für Datenschutzaspekte in der täglichen Anwendung der Zeiterfassung.
• Zuständigkeiten intern klären: Rollen und Verantwortlichkeiten von HR, IT und Datenschutzbeauftragten müssen klar definiert und dokumentiert sein.

Was passiert bei Verstößen gegen die DSGVO in der Zeiterfassung?

Datenschutzverstöße können schwerwiegende Folgen haben – sowohl rechtlich als auch finanziell. Bei mangelhafter Dokumentation, fehlender Einwilligung oder unsicherer Technik drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes. Auch der Reputationsschaden durch öffentliche Abmahnungen oder negative Presse sollte nicht unterschätzt werden. Daher gilt: Je besser Sie dokumentieren, informieren und technisch absichern, desto niedriger ist Ihr Risiko.

Besonders kritisch sind Fälle, in denen biometrische Daten unzulässig erhoben oder zu weitreichend ausgewertet werden – etwa zur Leistungskontrolle ohne Rechtsgrundlage. Auch unbefugte Zugriffe durch unzureichende Zugriffskonzepte oder fehlende Löschroutinen können zu Sanktionen führen. Ein proaktives Datenschutzmanagement hilft Ihnen, diese Risiken frühzeitig zu erkennen und abzusichern.

Wer kontrolliert die Umsetzung im Unternehmen?

Die Verantwortung für die datenschutzkonforme Umsetzung liegt bei Ihnen als Arbeitgeber. Sie müssen sicherstellen, dass Ihre Zeiterfassung den Vorgaben der DSGVO entspricht – technisch, organisatorisch und rechtlich.

In Unternehmen mit Datenschutzbeauftragten übernimmt dieser die interne Kontrolle, Beratung und Dokumentation. Dazu zählen regelmäßige Audits, Schulungen, die Prüfung der Systemkonfigurationen sowie die Begleitung bei Softwareeinführungen und technischen Änderungen.

Externe Kontrollen erfolgen durch die Landesdatenschutzbehörden. Bei Beschwerden oder stichprobenartigen Prüfungen müssen Sie nachweisen können, dass Ihre Prozesse DSGVO-konform sind – etwa mit Löschkonzepten, Verfahrensverzeichnissen oder DSFA-Dokumentationen.

Hinweis: Die Kontrolle der Einhaltung erfolgt durch die Verantwortlichen im Unternehmen selbst – idealerweise mit Unterstützung eines Datenschutzbeauftragten. Externe Prüfungen können durch die Landesdatenschutzbehörden erfolgen. Eine gute interne Dokumentation schützt Sie bei Rückfragen und Audits.

Effizient und rechtskonform: Ihre Zeiterfassung mit TimO umsetzen

Ein System wie TimO erleichtert die Umsetzung, indem es eine modulare, DSGVO-konforme Lösung bietet:

• Zeiterfassung per App, PC oder Terminal – ohne biometrische Daten
• Rollenbasierte Zugriffskonzepte für maximale Transparenz und Kontrolle
• Konfigurierbare Aufbewahrungsfristen & Löschkonzepte
• Deutscher Serverstandort, SSL-Verschlüsselung und vollständige DSGVO-Dokumentation

So wird aus einer Pflichtlösung ein echter Effizienzgewinn – rechtskonform, transparent und alltagstauglich.

FAQ: Häufige Fragen zu Datenschutz und Zeiterfassung

Wer kontrolliert die Einhaltung der Datenschutzregeln in der Zeiterfassung?

Als Arbeitgeber tragen Sie die volle Verantwortung für die DSGVO-konforme Umsetzung Ihrer Zeiterfassung – technisch, organisatorisch und rechtlich. Falls Sie einen Datenschutzbeauftragten haben, übernimmt dieser die interne Kontrolle, Beratung und Dokumentation. Zusätzlich prüfen Landesdatenschutzbehörden bei Beschwerden oder stichprobenartig, ob Sie alle Vorgaben einhalten.

Darf ein Kollege meine Arbeitszeiten kontrollieren?

Nein. Arbeitszeitdaten sind vertraulich. Ein direkter Zugriff durch Kolleg:innen ist nur dann zulässig, wenn dieser dienstlich notwendig und vertraglich oder betrieblich geregelt ist – z. B. bei Teamleitung oder Projektverantwortung. Auch dann gilt: Die Sichtbarkeit und Auswertung unterliegen klaren Grenzen.

Wer darf mein Arbeitszeitkonto einsehen – und ist das vertraulich?

Der Zugriff ist streng geregelt: Nur autorisiertes Personal darf auf Ihr Arbeitszeitkonto zugreifen. Dazu zählen:

• Sie selbst (über Self-Service-Funktionen),
• die Personalabteilung (für Abrechnung und Kontrolle),
• und ggf. Ihre Vorgesetzten, sofern es vertraglich oder per Betriebsvereinbarung legitimiert ist.

Mehr zum Thema lesen:

• Arbeitszeitgesetz 2024: Regelungen und geplante Änderungen
• Ist die minutengenaue Arbeitszeiterfassung Pflicht?
• Arbeitszeitbetrug: Beispiele, Gesetze & Tipps zum Umgang

Disclaimer:

Die aufgeführten Urteile, Tipps und Beiträge sind nach bestem Wissen und Gewissen sorgfältig zusammengestellt. Es wird kein Anspruch auf Vollständigkeit und Ausschließlichkeit der Inhalte gestellt. Die zur Verfügung gestellten Informationen ersetzen keine individuelle juristische Beratung.