Zeiterfassung und Datenschutz

Der Europäische Gerichtshof fordert in seinem Urteil ein

  • objektives,
  • verlässliches und
  • zugängliches
System oder Verfahren, mit dem die geleistete tägliche Arbeitszeit gemessen werden kann. Dabei werden keinerlei Aussagen über die zu verwendete Technologie oder bestimmte Medien getroffen. Wem es beispielsweise gelingt, die Arbeitszeiten handschriftlich zu erfassen und dabei Objektivität, Verlässlichkeit, Zugänglichkeit und datenschutzrechtliche Unbedenklichkeit zu gewährleisten, der kann auch handschriftliche Stundenzettel verwenden. Dennoch werden sich die meisten Unternehmen für eine digitale Lösung entscheiden – sie ist gegenüber der aufwendigen manuellen Erfassung und Auswertung einfach viel wirtschaftlicher.

Nimmt man

zusammen, lassen sich diese Anforderungen formulieren:

Forderungen des Urteils

1. Umfassende Zeiterfassung

Die Arbeitszeit muss umfassend erfasst werden, also alle Arbeitszeiten an allen Arbeitsorten und unter allen Arbeitsbedingungen , einschließlich der Auswärtstätigkeiten und Arbeiten am Heimarbeitsplatz.

Jedes Unternehmen muss zunächst festlegen, welche Tätigkeiten als zu erfassende Arbeitszeit zu bewerten sind. Diese Frage ist nicht immer so leicht zu beantworten, wie es auf den ersten Blick scheint, denn es geht nicht nur um die Aufzeichnung der Arbeitszeit, um das Entgelt korrekt zu berechnen. So bezieht sich das Urteil des EuGH ja auch nicht auf Regelungen zur Vergütung, sondern ausdrücklich auf die Charta der Grundrechte der EU sowie die Arbeitszeitrichtlinie. Hieraus leitet der EuGH ein Grundrecht eines jeden Arbeitnehmers auf Begrenzung der Höchstarbeitszeit sowie auf tägliche und wöchentliche Ruhezeiten ab. Die Zeiterfassung ist also auch erforderlich, um die Einhaltung arbeitsschutzrechtlicher Vorschriften belegen zu können, insbesondere Pausen- und Ruhezeiten.

Unterschiedliche Bewertung als Arbeitszeit

Dabei sind zu vergütende Arbeitszeiten und solche auf der Basis arbeitsschutzrechtlicher Vorschriften nicht immer identisch: bestimmte Zeitabschnitte werden aus Vergütungssicht als Arbeitszeit bewertet, aus Sicht des Arbeitsschutzes aber als Ruhezeit. Beispiel: wenn ein Arbeiter im Auto eines Kollegen von der Baustelle heimfährt, wird diese Zeit im Sinne des Arbeitszeitgesetzes in der Regel als Ruhezeit bewertet. Dennoch ist die Erfassung der Reisezeit möglicherweise relevant, weil die Fahrzeit vergütet wird oder die Erstattung des Aufwands (z.B. Auslösung) betrieblich vereinbart ist.

Steuerliche Aspekte

Auch das Steuerrecht kann für die Zeiterfassung relevant sein. Knüpfen wir an das Beispiel mit den heimfahrenden Arbeitern an: das Ende ihrer Reisezeit legt gleichzeitig das Ende der Abwesenheit fest, aus der sich steuerliche Ansprüche wie Verpflegungsmehraufwandspauschalen und Übernachtungspauschalen ergeben.

Je nach betrieblichen Abläufen kann es also erforderlich sein, bei der Auswahl einer geeigneten Zeiterfassungslösung darauf zu achten, dass alle relevanten Informationen

  1. aus Sicht der Entgeltabrechnung, einschließlich tariflicher und betrieblicher Arbeitszeitvereinbarungen,
  2. aus Sicht des Arbeitsschutzrechts und
  3. aus steuerlicher Sicht
erfasst werden.

Jedes Unternehmen sollte deshalb die Zeiten erfassen, die als Arbeitszeit gewertet werden könnten – aus Sicht des Arbeitszeitgesetzes, der betrieblichen Entgeltregelungen und steuerlicher Bewertungen. Sie sollten sicherstellen, dass alle Arbeitszeiten berücksichtigt werden.

2. Eignung

Das gewählte Verfahren bzw. Zeiterfassungssystem muss für den Zweck der Zeiterfassung und das Unternehmen geeignet sein.

Im Urteil des EuGH wird ein geeignetes Mittel zur Zeiterfassung gefordert. Die Eignung eines Systems für die Zeiterfassung in einem bestimmten Unternehmen hängt von dessen Arbeitsumgebung, Abläufen und sonstigen Anforderungen ab.

Kleine Unternehmen sind üblicherweise daran interessiert, mit geringem Aufwand fertige Lösungen zügig nutzen zu können (Plug and Play). Zusätzlich zu der Erfüllung der fachlichen Anforderungen sind meist folgende Themen wichtig:

  • Welche fachliche Kompetenz müssen wir haben, um die Lösung nutzen zu können? Sind Fortbildungen erforderlich, bevor die Lösung genutzt werden kann?
  • Welche IT-Kompetenz müssen wir haben, um die Lösung nutzen zu können? Müssen eigene Server betrieben und Wartungsarbeiten durchgeführt werden?
  • Kann die Lösung mit unserem vorhandenen Personal genutzt werden?
  • Kann die Lösung problemlos mit unserer vorhandenen Lohn- oder Branchensoftware verknüpft werden?
  • Welcher Support steht mir zur Verfügung?

Große Unternehmen achten, neben der Erfüllung der unmittelbar fachlichen Anforderungen, auf die Möglichkeiten zur Integration in ihre Organisation und die IT-Infrastruktur, beispielsweise:

  • Kann die digitale Lösung in unsere bestehende IT-Infrastruktur eingebettet werden?
  • Können unsere bestehenden Prozesse erhalten werden?
  • Kann unsere Organisationsstruktur (Hierarchien, Niederlassungen, Fachabteilungen) in der neuen digitalen Lösung abgebildet werden?
  • Genügt das Rechtemanagement unseren betrieblichen Anforderungen?
  • Ist eine Automatisierung der Abläufe möglich?

Neue Software wird erfahrungsgemäß von Anwendern zunächst auch skeptisch bewertet. Wenn es zudem um eine Software der Personal- und Zeitwirtschaft geht, die in unmittelbarem Zusammenhang zur Entgeltabrechnung steht, ist die Skepsis besonders groß, die Akzeptanz aber besonders wichtig. Deshalb sollte bei der Suche nach einer geeigneten digitalen Lösung auch darauf geachtet werden, welche Vorteile sie dem Anwender bietet und wie transparent sie ist.

  • Die Nutzung der digitalen Lösung sollte für den Mitarbeiter eine Erleichterung im Arbeitsalltag bedeuten und ihn entlasten.
  • Der Mitarbeiter muss lesenden Zugriff auf seine Arbeitszeitdaten, ggf. sein Arbeitszeitkonto und seine Reisekostenabrechnung haben.
  • Der Mitarbeiter muss Auskunft erhalten können, falls an seinen Arbeitszeitbuchungen Korrekturen vorgenommen worden sind, wann, von wem und aus welchem Grund.

Als Betroffener im Sinne der DSGVO hat er ein Auskunftsrecht über die Daten, die über ihn im Zeiterfassungssystem erfasst sind. Deshalb gewähren manche Systeme jedem Anwender einen Zugang zur Einsicht über seine gespeicherten Personalstammdaten und sonstigen personenbezogenen Daten.

Bei der Auswahl und Einführung des Zeiterfassungssystems muss der Betriebsrat hinzugezogen werden. § 87 Abs. 1 Nr. 6 BetrVG spricht dem Betriebsrat bei der Einführung und Anwendung von Systemen zur Arbeitszeiterfassung ein Mitbestimmungsrecht zu. Seine Anforderungen müssen daher bei der Einführung beachtet werden. Sie entsprechen im Wesentlichen den oben beschriebenen Anforderungen der Mitarbeiter.

Typische Anforderungen von Vorgesetzten sind

  • die einfache Bedienung, damit der Mitarbeiter bei seiner eigentlichen Arbeit nicht behindert wird,
  • die Anpassung der Erfassungslogik an die individuellen Abläufe innerhalb des Unternehmens, damit nur relevante Daten erfasst werden und die Mitarbeiter sich sofort zurecht finden,
  • der Schutz vor Manipulationen wie Verstellen der Uhrzeit und vor Arbeitszeitbetrug durch das Buchen vom falschen Standort (z.B. von zuhause oder schon während der Anfahrt zur Baustelle),
  • Beschränkung der Sichtberechtigungen von Vorgesetzten auf die Daten der ihnen zugewiesenen Mitarbeiter,
  • einfache Bedienung von Prüf- und Freigabe-Oberflächen,
  • geeignete Berichte und Auswertungsmöglichkeiten.

Typische Anforderungen von Kostenträgerverantwortlichen sind

  • die einfache Bedienung, damit der Mitarbeiter bei seiner eigentlichen Arbeit nicht behindert wird,
  • der Schutz vor Manipulationen wie Verstellen der Uhrzeit und vor Arbeitszeitbetrug durch das Buchen vom falschen Standort (z.B. von zuhause oder schon während der Anfahrt zur Baustelle),
  • Schutz vor Buchung auf den falschen Kostenträger (falsche Baustelle, falscher Auftrag, falscher Kunde), z.B. durch Verifizierung der manuellen Auswahl mithilfe standortbezogener Daten oder durch automatisierte Auswahl des betreffenden Kostenträgers,
  • Beschränkung der Sichtberechtigungen von Kostenträgerverantwortlichen auf die Daten derjenigen Mitarbeiter, die auf den Kostenträgern des betreffenden Verantwortlichen tätig waren (keine Einsicht in die Zeiten anderer Kostenträger).

Anforderungen der Personalsachbearbeiter: Sofern der Zeitwirtschaftsprozess nicht nur die Erfassung der Zeiten, sondern auch deren Aufbereitung für Arbeitszeitkonten oder Reisekostenabrechnungen umfasst, sollte eine Zeitwirtschaftslösung in der Lage sein, die nach dem anzuwendenden Vergütungsmodell vorgesehenen Regelungen automatisiert anzuwenden, beispielsweise:

Nicht automatisiert ermittelbare Daten wie Auslagen oder, bei Auslandsreisen, Zeitpunkte von Grenzübertritten, sollten im Zuge der Zeiterfassung von den Mitarbeitern erfasst werden können, damit sie unmittelbar in den Abrechnungsprozess einfließen können. Falls Auslagen nicht von den mobilen Mitarbeitern erfasst werden sollen, muss die Personalsachbearbeitung eine Erfassungsmöglichkeit für die eingereichten Belege haben.

Anforderungen der Kostenrechner: Sofern der Zeitwirtschaftsprozess nicht nur die Erfassung der Zeiten, sondern auch deren Aufbereitung für die Kostenrechnung umfasst, sollte die digitale Lösung diese Anforderungen erfüllen:

  • Kostenträger sollten automatisiert belastet werden.
  • Kostenstellen sollten automatisiert belastet werden.
  • Einzelne Zeitarten sollten differenziert werden können.
  • Daten sollten aktuell vorliegen, beispielsweise live, tagesaktuell, wochenaktuell, monatsaktuell.
  • Zulagen, Zuschläge, Fahrt- und Reisekosten sollten in die Kostenrechnung einfließen.

3. Objektivität

Die Arbeitszeit muss objektiv gemäß den betrieblichen Vereinbarungen erfasst werden, unabhängig von der Person, die die Erfassung vornimmt. Sie muss manipulationssicher sein.

4. Verlässlichkeit

Das System muss verlässlich funktionieren.

In der Pressemitteilung des EuGH zum Urteil wird ein „verlässliches“ Zeiterfassungssystem gefordert. Zieht man den italienischen Originaltext des Urteils heran, so ist dort die Rede von „un sistema affidabile“, was mit „zuverlässiges System“ übersetzt werden kann. Unter Systemzuverlässigkeit können alle Aspekte zusammengefasst werden, die in den folgenden Abschnitten zur Verfügbarkeit, Vertraulichkeit und Integrität erläutert werden.

5. Zugänglichkeit

Das System muss für Arbeitgeber und Arbeitnehmer gleichermaßen zugänglich sein, um ein ausgeglichenes Kräfteverhältnis sicherzustellen. Arbeitnehmer sollten ihre Arbeitszeitbuchungen, ihre Zeitsalden sowie ggf. Buchungen auf und von ihren Arbeitszeitkonten einsehen können.

Deshalb muss einerseits die Erfassung jederzeit zugänglich sein, andererseits müssen die Mitarbeiter selbstständig die von ihnen erfassten Arbeitszeitdaten einsehen können. Falls Änderungen dieser Daten, z.B. durch Vorgesetzte möglich sind, müssen auch diese Änderungen für den Mitarbeiter einsehbar sein. Mitarbeiter müssen, sofern solche Verarbeitungen stattfinden, ihre Zeitsalden sowie ggf. Buchungen auf und von ihren Arbeitszeitkonten einsehen können. Sofern auch andere Daten verarbeitet werden, z.B. abgerechnete Abwesenheitszeiten und Reisedaten, Spesenabrechnungen, Fahrgeldberechnungen, Reisekostenabrechnungen, müssen die Mitarbeiter auch Zugang zu solchen Daten erhalten.

Hierzu bieten manche Zeiterfassungssysteme einen Employee Self Service an, in dem Mitarbeiter die über sie erfassten Daten selbstständig einsehen und ggf. Korrekturen anstoßen oder Reklamationen auslösen können.

IT-Schutzziele

6. Integrität

Das System muss integer sein. Es darf nicht zu unautorisierter Veränderung von Daten kommen, deshalb sollten alle Benutzer des Systems über individuelle Rollen verfügen, die ihnen angemessene Rechte für Zugriff und Bearbeitung zuweisen.

Integer ist ein System, wenn Daten nicht unbefugt verändert, gelöscht oder eingefügt werden können. Dabei wird unterschieden in

  • starke Integrität: es besteht keine Möglichkeit der unbefugten Datenmanipulation,
  • schwache Integrität: Datenmanipulationen sind möglich, werden aber bemerkt.

Für die Praxis der Zeiterfassung bedeutet dies:

  • Unbefugte Änderungen an Arbeitszeitdaten müssen verhindert werden: Durch ein zuverlässiges Rollen- und Rechtemanagement kann die unberechtigte Änderung, Löschung oder Ergänzung von Arbeitszeitdaten unterbunden werden.
  • Berechtigte Änderungen müssen gekennzeichnet werden: Sofern Arbeitszeitdaten befugt (z.B. durch die Personalbuchhaltung) geändert werden, sollte dem Mitarbeiter diese Änderung offengelegt werden.

Das System muss über geeignete Maßnahmen zur Minimierung der Risiken von Datenänderungen oder Verlusten durch technische Defekte, Umwelt- oder Umfeld-Ereignisse wie Strahlung, Hitze, Feuchte, Unfälle usw. verfügen, beispielsweise Replikation oder wenigstens eine Backup- und Wiederherstellungslösung.

7. Vertraulichkeit

Die Arbeitszeitdaten und alle personenbezogenen Daten müssen vertraulich verarbeitet werden. Achten Sie also darauf, dass nur berechtigte Personen Zugang haben, beispielsweise die unmittelbar Vorgesetzten und die Personalabteilung – und der jeweils betroffene Arbeitnehmer selbst.

Von Vertraulichkeit kann dann gesprochen werden, wenn die Informationen nur befugten Personen zugänglich sind. Im Zusammenhang mit einem Zeiterfassungssystem ergeben sich daraus diese Forderungen:

Daten, insbesondere personenbezogenen Daten, dürfen nur befugten Benutzern zugänglich sein. Daraus ergibt sich in der Regel die Forderung nach einem Rollen- und Rechtekonzept, das sicherstellt, dass nur solche Benutzer die Daten bestimmter Mitarbeiter einsehen dürfen, die hierzu befugt sind. Typische Rollen sind:

  • Mitarbeiter: darf die eigenen Daten sehen, aber nicht bearbeiten.
  • Vorgesetzter: darf Arbeitszeit- und Abrechnungsdaten der ihm zugeordneten Mitarbeiter sehen, Stammdatenzugriff häufig eingeschränkt.
  • Personalsachbearbeiter: darf Arbeitszeit- und Abrechnungsdaten aller Mitarbeiter sehen, hat Zugriff auf alle Stammdaten aller Mitarbeiter.
  • Kostenträgerverantwortlicher: darf alle Daten mit Bezug zu den von ihm verantworteten Kostenträgern sehen.

Sofern innerhalb der Zeiterfassungslösung auch besonders vertrauliche Daten verarbeitet werden (z.B. Krankheitstage), so sind diese vor unbefugter Kenntnisnahme zu schützen. Deshalb wird typischerweise Benutzern, die nicht Personalsachbearbeiters sind, nur der Sachverhalt der Abwesenheit, nicht aber der Abwesenheitsgrund genannt.

8. Verfügbarkeit

Das Zeiterfassungssystem muss verfügbar sein. Die hohe Verfügbarkeit ist eine wesentliche Voraussetzung für die komfortable umfassende Zeiterfassung.

Verfügbarkeit ist der Zeitanteil, in dem das Zeitwirtschaftssystem für die Zeiterfasser und die Benutzer (Personalsachbearbeiter, Projektleiter, Vorgesetzte etc.) sowie Fremdsysteme, die mit dem Zeitwirtschaftssystem im Datenaustausch stehen, zur Verfügung steht.

Falls das System neben der Zeiterfassung weitere Funktionen bereitstellt (siehe 3.2: der Zeitwirtschaftsprozess), sollte man klären, ob die Nutzer dieser Funktionen zu anderen Zeiten auf das System zugreifen als die Teilnehmer an der Zeiterfassung, beispielsweise

  • Personalbuchhalter, die Lohnabrechnungen anfertigen,
  • Disponenten, die Termine planen,
  • Projektleiter und Kostenstellenverantwortliche, die Auswertungen anfertigen.

Falls Mitarbeiter in unterschiedlichen Zeitzonen tätig sind, sind deren Nutzungszeiten zu beachten. Das Gleiche gilt für Fremdsysteme (Lohnsoftware, ERP-Software), die möglicherweise außerhalb der Büro-Arbeitszeiten automatisiert mit der Zeitwirtschaftslösung Daten austauschen. In diesen Fällen ist der Betrachtungszeitraum für die Verfügbarkeit um solche Nutzungszeiten zu erweitern.

Grundsätze für die Datenverarbeitung nach DSGVO

9. Rechtmäßigkeit der Verarbeitung

Der Betrieb von Zeiterfassungssystemen und die Art und Weise der Datenverarbeitung muss rechtmäßig sein.

Art. 5 DSGVO (1) a) Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).

Der Betrieb von Zeiterfassungssystemen und die Art und Weise der Datenverarbeitung muss rechtmäßig sein. Insbesondere muss die Zustimmung des Betriebsrats zur Nutzung des Systems vorliegen.

10. Verarbeitung nach Treu und Glauben

Die Verarbeitung der Daten darf nicht über die Schritte und Zwecke hinausgehen, die den Mitarbeitern dargelegt wurden.

Art. 5 DSGVO (1) a) Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).

Für Zeiterfassungssysteme lassen sich diese Forderungen ableiten:

  • Die Mitarbeiter als Betroffene müssen bei der Einführung eines neuen Zeiterfassungssystems über die Funktionsweise des Systems informiert werden. Ihnen muss verständlich erläutert werden, welche Daten erfasst werden, zu welchen Zwecken dies geschieht, und – sofern für die Betroffenen von Relevanz – in welcher Weise die Daten verarbeitet werden.
  • Die Verarbeitung der Daten darf nicht über die Schritte und Zwecke hinausgehen, die den Mitarbeitern dargelegt wurden.

11. Transparenz

Mitarbeiter müssen Einblick in die im Zeiterfassungssystem über sie erfassten und verarbeiteten Daten haben.

Art. 5 DSGVO (1) a) Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“).

Für Zeiterfassungssysteme folgt, dass Mitarbeitern Einblick in die im Zeiterfassungssystem über sie erfassten und verarbeiteten Daten gewährt werden muss . Dazu gehören:

  • erfasste Arbeitszeitdaten,
  • Änderungen an Arbeitszeiten, z.B. durch Vorgesetzte,
  • Abrechnungsergebnisse, z.B. Überstundensaldo, Arbeitszeitkonto, Reisekostenabrechnung,
  • Fehlzeiten, z.B. Krankheitstage, Urlaubstage, Urlaubsanspruch,
  • Personalstammdaten.

Änderungen müssen zudem auditierbar und revisionssicher rückverfolgbar und nachvollziehbar sein: Wer hat wann welchen Datensatz in welcher Weise geändert, ihn gelöscht oder einen Datensatz hinzugefügt?

12. Zweckbindung

Über die den Mitarbeitern genannten Zwecke hinausgehende Nutzungen der Daten zu anderen Zwecken sind unzulässig.

Art. 5 DSGVO (1) b) Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

Den Mitarbeitern muss bei der Einführung eines Zeiterfassungssystems der Zweck der Erfassung und Verarbeitung erklärt werden. Solche Zwecke sind beispielsweise

  • Nachweis der Einhaltung von Pausen- und Ruhezeiten,
  • Vergütung (Lohnabrechnung),
  • Ermittlung von Mehrarbeitszeiten und Führung von Arbeitszeitkonten,
  • Erstattungen für besondere Tätigkeiten (z.B. Erschwerniszulagen),
  • Vergütung und Erstattungen im Zusammenhang mit Auswärtstätigkeiten (z.B. Abrechnung von Reisekosten, Auslösung, Fahrtkostenerstattungen),
  • Kostenrechnung

Über die den Mitarbeitern genannten Zwecke hinaus gehende Nutzungen der Daten zu anderen Zwecken sind unzulässig.

Häufig wird betrieblich vereinbart, dass Zeiterfassungsdaten nicht für die Verhaltens- und Leistungskontrolle verwendet werden dürfen. Deshalb sollte bei Auswertungen der Zeiterfassungsdaten immer geprüft werden, ob die Namensnennung erforderlich ist oder eine Anonymisierung vorzuziehen ist. So werden Leistungsvergleiche zwischen Beschäftigten und Rückschlüsse von der Zeiterfassung auf das Arbeitsverhalten und die Arbeitsleistung einzelner Beschäftigter ausgeschlossen.

13. Datenminimierung

Bei der Zeiterfassung dürfen keine Daten erfasst bzw. verarbeitet werden, die für keinen der benannten Zwecke benötigt werden.

Art. 5 DSGVO (1) c) Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

Bei der Zeiterfassung dürfen keine Daten erfasst werden, die für keinen der benannten Zwecke benötigt werden. Beispielsweise ist das Tracking (Standortverfolgung) von Mitarbeitern in der Regel zur Erfüllung der Zwecke (z.B. Lohnabrechnung, Überstundenberechnung) nicht erforderlich.

Auch bei der Erfassung von Personalstammdaten im Zeiterfassungssystem sollte stets geprüft werden, welche Daten für die benannten Zwecke erforderlich sind.

14. Richtigkeit der Datenverarbeitung

Die fehlerfreie Datenverarbeitung muss gewährleistet sein.

Art. 5 DSGVO (1) d) Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

Dass Arbeitszeitbuchungen korrekt sein müssen, liegt in der Natur der Sache. Das Zeiterfassungssystem muss die Möglichkeit bieten, fehlerhafte Buchungen zu korrigieren, fehlende Buchungen zu ergänzen oder überflüssige Buchungen zu löschen. In der Praxis erfordert das einen Prozess, in dem Buchungen geprüft und freigegeben bzw. korrigiert werden können.

Sofern innerhalb des Zeiterfassungssystems automatisierte Abrechnungen stattfinden, sind die Abrechnungsergebnisse auf ihre Richtigkeit zu prüfen. Auch wenn nach Berichterstellung (z.B. für die Kostenrechnung) oder Periodenabschluss (Abrechnungen für die Entgeltabrechnung) Korrekturen an den ursprünglichen Zeiterfassungsdaten vorgenommen werden, muss sichergestellt sein, dass die Berechnungsergebnisse korrigiert und erneut auf Richtigkeit geprüft werden.

Es muss sichergestellt sein, dass die zugrunde liegenden Regelwerke und Stammdaten korrekt angewendet werden und stets aktuell sind. Auch hierzu sollte ein Prozess etabliert werden, der sicherstellt, dass beispielsweise Änderungen an Betriebsvereinbarungen oder tariflichen Regelungen sowie Änderungen der Mitarbeiterstammdaten (z.B. bei einem Umzug) korrekt in das Zeiterfassungssystem übernommen werden.

15. Speicherbegrenzung

Personenbezogene Daten müssen gelöscht werden können, nachdem die Aufbewahrungsfrist abgelaufen ist.

Art. 5 DSGVO (1) e) Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);

Das Zeiterfassungssystem muss die Möglichkeit bieten, personenbezogene Daten zu löschen, nachdem die erforderliche Aufbewahrungsfrist abgelaufen ist. Die Fristen ergeben sich aus den Zwecken, zu denen die Daten erhoben und verarbeitet werden. Beispiele:

  • Aus dem Arbeitszeitgesetz ergibt sich eine Aufbewahrungsfrist von 2 Jahren.
  • Sofern Zeiterfassungsdaten für arbeitsrechtliche Vorgänge verwendet werden, sind die für Personalakten geltenden Fristen zu beachten.
  • Falls Urlaub über das Zeiterfassungssystem beantragt wird, sind die Anträge in der Regel nach der Übernahme des Urlaubs ins Abrechnungssystem zu löschen.

16. Integrität und Vertraulichkeit

Es darf nicht zu unautorisierter Veränderung von Daten kommen; die Arbeitszeitdaten und alle personenbezogenen Daten müssen vertraulich verarbeitet werden , Änderungen an Daten müssen revisionsfest, nachvollziehbar und auditierbar sein .

Art. 5 DSGVO (1) f) Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Die Aspekte Integrität und Vertraulichkeit wurden oben bereits erläutert.

17. Freiheit von Risiken für die Rechte und Freiheiten natürlicher Personen

Die Arbeitszeiterfassung darf keine Risiken für die Rechte und Freiheiten natürlicher Personen verursachen. Falls ein solches Risiko besteht, ist gemäß Artikel 35 DSGVO eine Datenschutz-Folgenabschätzung erforderlich.

Folgt man der aktuellen Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist, so können die folgenden Verfahrenstätigkeiten aus der Liste im Zusammenhang mit Zeiterfassungssystemen relevant sein:

  • Nr. 4: Umfangreiche Verarbeitung von personenbezogenen Daten über den Aufenthalt von natürlichen Personen
    Relevant, wenn das Zeiterfassungssystem (auch) standortbezogene Daten verwendet, um die Anwesenheit von Mitarbeitern an Arbeitsorten zu erfassen oder ihre Fahrtätigkeiten zu verfolgen.
  • Nr 8: Umfangreiche Verarbeitung von personenbezogenen Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit derart eingesetzt werden können, dass sich Rechtsfolgen für die Betroffenen ergeben oder diese Betroffenen in anderer Weise erheblich beeinträchtigt werden.
    Relevant, wenn das Zeiterfassungssystem besonders durch häufige Erfassungspunkte oder kurze Erfassungsintervalle eine hohe Kontrolldichte erzeugt
  • Nr. 12: Nicht bestimmungsgemäße Nutzung von Sensoren eines Mobilfunkgeräts im Besitz der betroffenen Personen oder von Funksignalen, die von solchen Geräten versandt werden, zur Bestimmung des Aufenthaltsorts oder der Bewegung von Personen über einen substantiellen Zeitraum
    Relevant, wenn ein Zeiterfassungssysteme regelmäßig Standortinformationen ohne Zutun des Mitarbeiters erfasst und sendet.

25. September 2019 - Michael Stausberg