DSGVO-konforme Zeiterfassung: Was Arbeitgeber wissen müssen

Seit dem EuGH-Urteil von 2019 und dem BAG-Urteil von 2022 sind Arbeitgeber verpflichtet, die Arbeitszeiten ihrer Mitarbeiter zu erfassen. Doch wie verbindet man diese Pflicht mit den strengen Anforderungen der DSGVO? In diesem Artikel erfahren Sie alles Wichtige.

Die doppelte Herausforderung

Unternehmen stehen vor zwei parallelen Anforderungen:

1. Arbeitszeiterfassungspflicht: Das BAG hat 2022 entschieden, dass Arbeitgeber ein System zur Erfassung der Arbeitszeiten einführen müssen. Mehr dazu lesen Sie in unserem Überblick zur Zeiterfassungspflicht in Deutschland.

2. Datenschutz: Die DSGVO verlangt den sorgsamen Umgang mit personenbezogenen Daten – und Arbeitszeiten sind personenbezogene Daten.

Welche Daten dürfen erfasst werden?

Zulässige Daten

Im Rahmen der Zeiterfassung dürfen Sie erfassen:

• Beginn und Ende der täglichen Arbeitszeit
• Pausenzeiten
• Überstunden
• Projekt- oder Kundenzuordnung (wenn betrieblich erforderlich)
• Standort bei mobilen Mitarbeitern (mit Einschränkungen — lesen Sie dazu unseren Artikel GPS-Tracking bei Mitarbeitern: Was ist erlaubt?)

Unzulässige Daten

Nicht erfasst werden dürfen:

• Detaillierte Tätigkeitsprotokolle
• Private Pauseninhalte
• Leistungsmessungen ohne sachlichen Grund
• Dauerhaften Standortverlauf

Die 7 DSGVO-Grundsätze bei der Zeiterfassung

1. Rechtmäßigkeit

Sie brauchen eine Rechtsgrundlage für die Verarbeitung. Bei der Zeiterfassung ist das:

• Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

2. Zweckbindung

Erhobene Zeitdaten dürfen nur für festgelegte Zwecke verwendet werden:

• ✅ Lohnabrechnung
• ✅ Nachweis gegenüber Behörden
• ✅ Projektabrechnung
• ❌ Verdeckte Leistungskontrolle
• ❌ Erstellung von Persönlichkeitsprofilen

3. Datenminimierung

Erfassen Sie nur die wirklich notwendigen Daten. Fragen Sie sich:

• Brauche ich diese Information wirklich?
• Gibt es eine weniger invasive Alternative?
• Kann ich mit weniger Daten auskommen?

4. Richtigkeit

Die erfassten Daten müssen korrekt sein. Das bedeutet:

• Mitarbeiter sollten ihre Zeiten prüfen können
• Korrekturen müssen möglich sein
• Fehlerhafte Daten müssen berichtigt werden

5. Speicherbegrenzung

Daten dürfen nur so lange gespeichert werden, wie notwendig:

Datenart	Aufbewahrungsfrist
Lohnunterlagen	6 Jahre
Überstundennachweise	Je nach Tarifvertrag
GPS-Daten	So kurz wie möglich

6. Integrität und Vertraulichkeit

Sie müssen technische Maßnahmen ergreifen:

• Verschlüsselung der Daten
• Zugriffskontrollen
• Sichere Passwörter
• Regelmäßige Backups

7. Rechenschaftspflicht

Sie müssen die Einhaltung nachweisen können:

• Dokumentierte Prozesse
• Verarbeitungsverzeichnis
• Datenschutz-Folgenabschätzung (wenn nötig)

DSGVO-konforme Zeiterfassung: Worauf Arbeitgeber besonders achten müssen

Die häufigste Frage in Beratungsgesprächen lautet: Worauf sollte ich als Arbeitgeber bei DSGVO-konformer Zeiterfassung besonders achten? Die Antwort lässt sich auf fünf zentrale Prüfpunkte verdichten:

1. Rechtsgrundlage klar benennen: Dokumentieren Sie schriftlich, auf welche Rechtsgrundlage (Art. 6 DSGVO) Sie sich stützen. Gerichte und Aufsichtsbehörden erwarten diese Dokumentation — nicht das bloße Bestehen einer Grundlage.
2. Zweckbindung einhalten: Zeitdaten dürfen NICHT für Leistungskontrollen, Produktivitätsranking oder verhaltensbezogene Abmahnungen herangezogen werden. Jede Zweckerweiterung braucht eine eigene Rechtsgrundlage oder Einwilligung.
3. Serverstandort prüfen: Nutzen Sie einen US-Anbieter (AWS, Google Cloud, Microsoft), sind Sie seit Schrems II zusätzlich zu Standardvertragsklauseln und einer Transfer Impact Assessment verpflichtet. Server in Deutschland vermeiden dieses Problem vollständig.
4. Betriebsrat einbeziehen: In mitbestimmten Betrieben ist die Einführung eines Zeiterfassungssystems nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig. Eine ohne Betriebsrat eingeführte Lösung ist rechtlich angreifbar.
5. AVV-Vertrag abschließen: Bei jeder externen Software ist ein schriftlicher Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht. Ohne AVV verarbeiten Sie Daten unzulässig — unabhängig davon, wie gut die Software technisch ist.

DSGVO-konforme Zeiterfassung mit Serverstandort Deutschland

Seit dem Schrems-II-Urteil (EuGH, 2020) ist die Übertragung personenbezogener Daten in die USA stark eingeschränkt. Das betrifft Zeiterfassungssoftware unmittelbar — denn viele bekannte Anbieter hosten auf AWS, Google Cloud oder Azure mit US-Mutterkonzern. Deutsche Unternehmen, die solche Anbieter nutzen, müssen zusätzliche Schutzmaßnahmen umsetzen:

• Transfer Impact Assessment (TIA) für jeden Drittland-Transfer
• Standardvertragsklauseln (SCC) als Transfer-Grundlage
• Technische Schutzmaßnahmen (Ende-zu-Ende-Verschlüsselung, Pseudonymisierung)

Der schnellere Weg: einen Anbieter wählen, der ausschließlich in Deutschland hostet. Damit entfällt die gesamte Drittland-Problematik. Worauf Sie dabei konkret achten sollten:

• Rechenzentrum-Standort im Vertrag oder AVV ausdrücklich genannt
• Kein Backup-Transfer in Drittländer
• Keine Sub-Auftragsverarbeiter mit US-Bezug (z. B. US-Monitoring-Dienste, US-Analytics)
• Deutsche GmbH oder UG als Vertragspartner, nicht eine US-Tochter

Crew Active erfüllt diese Kriterien vollständig: Alle Daten liegen in deutschen Rechenzentren, Vertragspartner ist eine deutsche GmbH, und der AVV ist ohne US-Sub-Auftragsverarbeiter gestaltet.

Mitbestimmung des Betriebsrats bei der Einführung einer Zeiterfassung

Wenn in Ihrem Betrieb ein Betriebsrat besteht, ist die Einführung oder wesentliche Änderung eines technischen Zeiterfassungssystems mitbestimmungspflichtig (§ 87 Abs. 1 Nr. 6 BetrVG). Das gilt insbesondere für:

• Einführung einer neuen Software oder App
• Wechsel von manueller auf digitale Erfassung
• Hinzufügen einer GPS- oder Geofencing-Funktion
• Erweiterung um biometrische Erfassung (Fingerabdruck, Gesicht)

In der Praxis bedeutet das: Sie brauchen eine Betriebsvereinbarung mit dem Betriebsrat, bevor das System produktiv geht. Diese regelt typischerweise:

• Welche Daten konkret erfasst werden
• Wer Zugriff auf welche Daten hat
• Wie lange gespeichert wird
• Welche Auswertungen zulässig sind (und welche nicht)
• Wie der Betriebsrat laufend informiert wird

Praxis-Tipp: Ziehen Sie den Betriebsrat früh ein, idealerweise bei der Anbieterauswahl. Das verhindert späten Widerstand und beschleunigt die Einführung.

Sonderfälle: Biometrie, Cloud-Anbieter und GPS-Tracking

Biometrische Zeiterfassung (Fingerabdruck, Gesichtserkennung)

Biometrische Daten gelten als besondere Kategorien nach Art. 9 DSGVO. Ihre Verarbeitung ist nur ausnahmsweise zulässig — typischerweise nur mit ausdrücklicher, freiwilliger Einwilligung. Im Arbeitsverhältnis ist “freiwillig” aufgrund des Abhängigkeitsverhältnisses kritisch zu bewerten. Wenn eine einfache PIN-, Karten- oder App-Lösung dieselbe Funktion erfüllt, ist die biometrische Erfassung nicht verhältnismäßig und damit nicht zulässig. Aufsichtsbehörden haben in mehreren Fällen bereits Bußgelder verhängt.

GPS-Tracking und Geofencing

GPS-Daten sind in der Regel keine besondere Datenkategorie, erfordern aber hohe Sorgfalt. Zulässig ist GPS-Erfassung typischerweise nur:

• Während der Arbeitszeit (nicht in Pausen, nicht nach Feierabend)
• Mit klar definiertem Zweck (Nachweis Einsatzort, Routenplanung)
• Mit abschaltbarer Funktion für den Mitarbeiter
• Mit kurzer Speicherdauer (typisch 30-90 Tage)

Mehr dazu in unserem Artikel zum GPS-Tracking von Mitarbeitern.

Cloud-Anbieter aus den USA

Wie oben beschrieben: möglich, aber aufwendig. Für den Normalfall empfehlen wir einen Anbieter mit Rechenzentrum in Deutschland. Bei bestehenden US-Verträgen: TIA durchführen, SCC ergänzen, Verschlüsselung sicherstellen — und den Wechsel perspektivisch einplanen.

Praktische Umsetzung

Verarbeitungsverzeichnis erstellen

Dokumentieren Sie Ihre Zeiterfassung im Verarbeitungsverzeichnis:

Verarbeitungstätigkeit: Arbeitszeiterfassung
Zweck: Erfüllung der Arbeitszeiterfassungspflicht, Lohnabrechnung
Kategorien betroffener Personen: Mitarbeiter
Kategorien von Daten: Arbeitszeiten, Pausenzeiten, ggf. Standortdaten
Löschfristen: 6 Jahre nach Ende des Kalenderjahres
Technische Maßnahmen: Verschlüsselung, Zugriffskontrollen

Informationspflichten erfüllen

Informieren Sie Ihre Mitarbeiter gemäß Art. 13 DSGVO über:

1. Verantwortlicher: Wer ist für die Datenverarbeitung verantwortlich?
2. Zweck: Wozu werden die Daten erhoben?
3. Rechtsgrundlage: Auf welcher Basis?
4. Empfänger: Wer erhält die Daten?
5. Speicherdauer: Wie lange werden Daten gespeichert?
6. Betroffenenrechte: Welche Rechte haben Mitarbeiter?

Auftragsverarbeitung regeln

Nutzen Sie eine externe Software? Dann brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. Dieser regelt:

• Weisungsgebundenheit
• Technische Maßnahmen
• Subunternehmer
• Löschung nach Vertragsende

Checkliste: Ist Ihre Zeiterfassung DSGVO-konform?

✅ Rechtsgrundlage dokumentiert?

✅ Mitarbeiter informiert?

✅ Nur notwendige Daten erfasst?

✅ Zugriffsrechte definiert?

✅ Löschfristen festgelegt?

✅ Technische Sicherheit gewährleistet?

✅ AVV mit Softwareanbieter geschlossen?

✅ Verarbeitungsverzeichnis aktualisiert?

✅ Betroffenenrechte sichergestellt?

✅ Datenschutzbeauftragter eingebunden?

Crew Active: DSGVO-Konformität eingebaut

Bei Crew Active haben wir Datenschutz von Anfang an mitgedacht:

Made in Germany

• Server ausschließlich in deutschen Rechenzentren
• Deutsche GmbH als Vertragspartner
• Support in deutscher Sprache

Datenschutz by Design

• Nur notwendige Daten werden erfasst
• Automatische Löschung nach definierten Fristen
• Granulare Zugriffsrechte
• Verschlüsselte Datenübertragung

Rechtssichere Dokumentation

• Fertiger Auftragsverarbeitungsvertrag
• Unterstützung bei Informationspflichten
• Exportfunktionen für Betroffenenrechte

Fazit

DSGVO-konforme Zeiterfassung ist kein Hexenwerk, erfordert aber bewusstes Handeln. Mit der richtigen Software und durchdachten Prozessen erfüllen Sie sowohl die Erfassungspflicht als auch den Datenschutz.

---

Testen Sie Crew Active: Zeiterfassung, die Datenschutz ernst nimmt. 1 Monat kostenlos, ohne Risiko.