DSGVO Zeiterfassung
DSGVO Zeiterfassung beschreibt die datenschutzkonforme Erfassung, Speicherung und Auswertung von Arbeitszeiten nach der Datenschutz-Grundverordnung. Dabei geht es um Rechtsgrundlagen, Datenminimierung, Zugriffsrechte, Auftragsverarbeitung und Löschfristen in digitalen Zeiterfassungssystemen.
In vielen Betrieben wird Arbeitszeit noch nebenbei organisiert – bis erste Datenschutzfragen auftauchen: Wer darf was sehen? Wie lange dürfen Daten gespeichert werden? DSGVO-konforme Zeiterfassung ist relevant, weil Arbeitszeitdaten immer personenbezogen sind. Unternehmen müssen daher Arbeitszeitnachweise nicht nur vollständig und korrekt, sondern auch datenschutzrechtlich sauber organisieren, insbesondere bei digitalen Systemen und Cloud-Lösungen.
Das Wichtigste in Kürze
- Arbeitszeitdaten sind personenbezogene Daten und unterliegen der DSGVO
- Erfassung basiert meist auf Vertragserfüllung und gesetzlichen Pflichten
- Digitale Systeme erleichtern Rollenrechte, Löschfristen und Dokumentation
DSGVO Zeiterfassung bedeutet, Arbeitszeiten so zu erfassen, dass sowohl arbeitsrechtliche Pflichten (z. B. nach Arbeitszeitgesetz, Mindestlohngesetz, Nachweisgesetz) als auch die Vorgaben der Datenschutz-Grundverordnung (DSGVO) eingehalten werden. Arbeitszeitdaten sind personenbezogene Daten, teilweise auch besonders sensibel, etwa bei Schichtarbeit, Krankheit oder Einsatzorten.
Zentrale Grundlage ist Art. 6 DSGVO: Die Verarbeitung erfolgt in der Regel zur Erfüllung des Arbeitsvertrags oder zur Erfüllung rechtlicher Pflichten (z. B. Dokumentationspflichten zu Arbeitszeiten, EuGH-Urteil zur Arbeitszeiterfassung und dessen Umsetzung in Deutschland). Wichtig ist, nur die Daten zu erfassen, die wirklich für Arbeitszeit, Lohnabrechnung und Organisation notwendig sind (Datenminimierung) und klare Regeln zur Einsicht zu definieren.
In der Praxis heißt das: Rollen- und Rechtesysteme in der Zeiterfassungssoftware, damit z. B. Vorgesetzte nur ihre Teams sehen, HR aber alle Mitarbeitenden. Bei Cloud- oder SaaS-Lösungen sind ein Auftragsverarbeitungsvertrag (Art. 28 DSGVO), Informationen zum Serverstandort (idealerweise EU/EWR) und technische Maßnahmen wie Verschlüsselung, Zugriffskontrollen und Protokollierung wichtig. Zudem müssen verständliche Informationspflichten (Art. 13 DSGVO) und nachvollziehbare Lösch- und Aufbewahrungsfristen festgelegt werden.
Digitale Zeiterfassungssysteme unterstützen diese Anforderungen, indem sie Rechtekonzepte, Löschregeln, Auskunftsfunktionen und Exportmöglichkeiten (z. B. für Lohnabrechnung oder Betriebsprüfung) standardisiert abbilden. So lassen sich rechtliche Vorgaben leichter erfüllen und Nachweise gegenüber Mitarbeitenden, Aufsichtsbehörden oder dem Betriebsrat strukturiert führen.
Über den Autor
Linda Fürth
Customer Success Manager
Linda Fürth ist Customer Success Manager bei zeitstrom.com. Mit ihrer Expertise im Aufbau nachhaltiger Kundenbeziehungen sowie der Maximierung des Nutzens maßgeschneiderter Softwarelösungen unterstützt sie Unternehmen bei erfolgreicher Implementierung und langfristiger Wertschöpfung.
Häufige Fragen
Arbeitszeitdaten sind personenbezogene Daten und daher immer schutzwürdig. Sie gelten zwar meist nicht als „besondere Kategorien“, können aber je nach Inhalt sensible Rückschlüsse erlauben (z. B. Krankheit, Einsatzort, Schichtmuster) und müssen entsprechend abgesichert werden.
Es gilt der Grundsatz der Speicherbegrenzung: Daten nur so lange aufbewahren, wie rechtliche Pflichten und betriebliche Zwecke dies erfordern. Häufig werden Fristen aus Arbeitsrecht, Sozialversicherungs- und Steuerrecht herangezogen; konkrete Fristen sollten mit Steuerberater oder Fachanwalt abgestimmt werden.
Ja, wenn ein externer Anbieter Arbeitszeitdaten im Auftrag verarbeitet, ist in der Regel ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Dieser regelt unter anderem Sicherheitsmaßnahmen, Unterauftragnehmer, Serverstandorte und Unterstützung bei Betroffenenrechten.
