Zurück zum Blog
Zeiterfassung 8. Januar 2025 9 min Lesezeit

DSGVO-konforme Zeiterfassung: Was Arbeitgeber wissen müssen

Alles über datenschutzkonforme Arbeitszeiterfassung nach DSGVO. Rechtliche Anforderungen, technische Maßnahmen und praktische Tipps.

Crew Active Team

Crew Active

Seit dem EuGH-Urteil von 2019 und dem BAG-Urteil von 2022 sind Arbeitgeber verpflichtet, die Arbeitszeiten ihrer Mitarbeiter zu erfassen. Doch wie verbindet man diese Pflicht mit den strengen Anforderungen der DSGVO? In diesem Artikel erfahren Sie alles Wichtige.

Die doppelte Herausforderung

Unternehmen stehen vor zwei parallelen Anforderungen:

  1. Arbeitszeiterfassungspflicht: Das BAG hat 2022 entschieden, dass Arbeitgeber ein System zur Erfassung der Arbeitszeiten einführen müssen.

  2. Datenschutz: Die DSGVO verlangt den sorgsamen Umgang mit personenbezogenen Daten – und Arbeitszeiten sind personenbezogene Daten.

Welche Daten dürfen erfasst werden?

Zulässige Daten

Im Rahmen der Zeiterfassung dürfen Sie erfassen:

  • Beginn und Ende der täglichen Arbeitszeit
  • Pausenzeiten
  • Überstunden
  • Projekt- oder Kundenzuordnung (wenn betrieblich erforderlich)
  • Standort bei mobilen Mitarbeitern (mit Einschränkungen)

Unzulässige Daten

Nicht erfasst werden dürfen:

  • Detaillierte Tätigkeitsprotokolle
  • Private Pauseninhalte
  • Leistungsmessungen ohne sachlichen Grund
  • Dauerhaften Standortverlauf

Die 7 DSGVO-Grundsätze bei der Zeiterfassung

1. Rechtmäßigkeit

Sie brauchen eine Rechtsgrundlage für die Verarbeitung. Bei der Zeiterfassung ist das:

  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

2. Zweckbindung

Erhobene Zeitdaten dürfen nur für festgelegte Zwecke verwendet werden:

  • ✅ Lohnabrechnung
  • ✅ Nachweis gegenüber Behörden
  • ✅ Projektabrechnung
  • ❌ Verdeckte Leistungskontrolle
  • ❌ Erstellung von Persönlichkeitsprofilen

3. Datenminimierung

Erfassen Sie nur die wirklich notwendigen Daten. Fragen Sie sich:

  • Brauche ich diese Information wirklich?
  • Gibt es eine weniger invasive Alternative?
  • Kann ich mit weniger Daten auskommen?

4. Richtigkeit

Die erfassten Daten müssen korrekt sein. Das bedeutet:

  • Mitarbeiter sollten ihre Zeiten prüfen können
  • Korrekturen müssen möglich sein
  • Fehlerhafte Daten müssen berichtigt werden

5. Speicherbegrenzung

Daten dürfen nur so lange gespeichert werden, wie notwendig:

DatenartAufbewahrungsfrist
Lohnunterlagen6 Jahre
ÜberstundennachweiseJe nach Tarifvertrag
GPS-DatenSo kurz wie möglich

6. Integrität und Vertraulichkeit

Sie müssen technische Maßnahmen ergreifen:

  • Verschlüsselung der Daten
  • Zugriffskontrollen
  • Sichere Passwörter
  • Regelmäßige Backups

7. Rechenschaftspflicht

Sie müssen die Einhaltung nachweisen können:

  • Dokumentierte Prozesse
  • Verarbeitungsverzeichnis
  • Datenschutz-Folgenabschätzung (wenn nötig)

Praktische Umsetzung

Verarbeitungsverzeichnis erstellen

Dokumentieren Sie Ihre Zeiterfassung im Verarbeitungsverzeichnis:

Verarbeitungstätigkeit: Arbeitszeiterfassung
Zweck: Erfüllung der Arbeitszeiterfassungspflicht, Lohnabrechnung
Kategorien betroffener Personen: Mitarbeiter
Kategorien von Daten: Arbeitszeiten, Pausenzeiten, ggf. Standortdaten
Löschfristen: 6 Jahre nach Ende des Kalenderjahres
Technische Maßnahmen: Verschlüsselung, Zugriffskontrollen

Informationspflichten erfüllen

Informieren Sie Ihre Mitarbeiter gemäß Art. 13 DSGVO über:

  1. Verantwortlicher: Wer ist für die Datenverarbeitung verantwortlich?
  2. Zweck: Wozu werden die Daten erhoben?
  3. Rechtsgrundlage: Auf welcher Basis?
  4. Empfänger: Wer erhält die Daten?
  5. Speicherdauer: Wie lange werden Daten gespeichert?
  6. Betroffenenrechte: Welche Rechte haben Mitarbeiter?

Auftragsverarbeitung regeln

Nutzen Sie eine externe Software? Dann brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. Dieser regelt:

  • Weisungsgebundenheit
  • Technische Maßnahmen
  • Subunternehmer
  • Löschung nach Vertragsende

Checkliste: Ist Ihre Zeiterfassung DSGVO-konform?

✅ Rechtsgrundlage dokumentiert?

✅ Mitarbeiter informiert?

✅ Nur notwendige Daten erfasst?

✅ Zugriffsrechte definiert?

✅ Löschfristen festgelegt?

✅ Technische Sicherheit gewährleistet?

✅ AVV mit Softwareanbieter geschlossen?

✅ Verarbeitungsverzeichnis aktualisiert?

✅ Betroffenenrechte sichergestellt?

✅ Datenschutzbeauftragter eingebunden?

Crew Active: DSGVO-Konformität eingebaut

Bei Crew Active haben wir Datenschutz von Anfang an mitgedacht:

Made in Germany

  • Server ausschließlich in deutschen Rechenzentren
  • Deutsche GmbH als Vertragspartner
  • Support in deutscher Sprache

Datenschutz by Design

  • Nur notwendige Daten werden erfasst
  • Automatische Löschung nach definierten Fristen
  • Granulare Zugriffsrechte
  • Verschlüsselte Datenübertragung

Rechtssichere Dokumentation

  • Fertiger Auftragsverarbeitungsvertrag
  • Unterstützung bei Informationspflichten
  • Exportfunktionen für Betroffenenrechte

Fazit

DSGVO-konforme Zeiterfassung ist kein Hexenwerk, erfordert aber bewusstes Handeln. Mit der richtigen Software und durchdachten Prozessen erfüllen Sie sowohl die Erfassungspflicht als auch den Datenschutz.

Testen Sie Crew Active: Zeiterfassung, die Datenschutz ernst nimmt. 14 Tage kostenlos, ohne Risiko.

#dsgvo #datenschutz #zeiterfassung #compliance #arbeitsrecht

Bereit für den nächsten Schritt?

Testen Sie Crew Active 14 Tage kostenlos und erleben Sie die Vorteile digitaler Einsatzplanung.

14 Tage kostenlos testen