Betrieblicher Datenschutz 2: Datenschutzkonforme Zeiterfassung 

28. August 2024

Mit einem Beschluss vom 13. September 2022 stellte das Bundesarbeitsgericht (BAG) fest, dass Arbeitgeber verpflichtet seien „(…) Beginn und Ende der täglichen Arbeitszeit der Arbeitnehmer zu erfassen (…)“. Die Arbeitszeiterfassung bedeutet regelmäßig, dass Unternehmen die personenbezogenen Daten ihrer Mitarbeiter verarbeiten müssen. Demnach stellt sich die Frage, wie eine datenschutzkonforme Zeiterfassung im Betrieb umgesetzt werden kann.  

Rechtsgrundlage und Zweck 

Wenn ein Unternehmen die Arbeitszeiten erfasst, stehen grundsätzlich verschiedene Möglichkeiten zur Auswahl. Dabei eigenen sich die Methoden unterschiedlich gut für die Art der Arbeit. So können im Homeoffice andere Methoden eingesetzt werden als bei der Arbeit „vor Ort“. Bei letzterem könnte die Arbeitszeit durch das Auslesen des Fingerabdrucks oder per Gesichtserkennung erfolgen. Vereinfacht können die Mitarbeiter ihre Arbeitszeiten selbstständig in Tabellen eintragen. Dies kann händisch sowie per Excel erfolgen. Zusätzlich lässt sich die Arbeitszeit im Homeoffice online über verschiedene Softwares aufzeichnen. 

Unabhängig von der gewählten Methode erfolgt aufgrund der Identifikationsmöglichkeit des/der Mitarbeiters*in eine Verarbeitung personenbezogener Daten. Die Datenverarbeitung ist grundsätzlich an eine Rechtsgrundlage und einen Zweck gebunden.  

Als Rechtsgrundlage käme § 26 Abs. 1 S. 1 BDSG in Betracht. Demnach ist die Datenverarbeitung u. a. erlaubt, wenn dies zur Durchführung des Arbeitsverhältnisses erforderlich ist. Zusätzlich kann § 16 Abs. 2 ArbZG herangezogen werden. Dieser regelt die Aufzeichnung von Überstunden.  

Mit dem Zweckbindungsgrundsatzes nach Art. 5 Abs. 1 lit. b DSGVO stellt sich die Frage, warum ein Unternehmen die Arbeitszeiten der Mitarbeiter erfasst. In der Regel ergibt sich der Zweck der Arbeitszeiterfassung bereits aus ihrer Formulierung. Es soll in der Regel die Einhaltung der vertraglich oder gesetzlich vorgesehenen Arbeitszeiten erfasst werden. Darüber hinaus kann auch überprüft werden, ob die Mitarbeiter die vorgesehenen Ruhe- und Pausenzeiten einhalten. Außerdem lässt sich mit Hilfe der Arbeitszeitkontrolle der Lohn der Mitarbeiter abrechnen. Wie Art. 5 Abs. 1 lit. b DSGVO vorsieht, ist die Datenverarbeitung an die verfolgten Zwecke gebunden. Damit kann ein Unternehmen durch die Arbeitszeiterfassung beispielsweise keine Leistungskontrolle vornehmen. Insoweit wären die Mitarbeiter darüber zu informieren und ggf. eine andere Rechtsgrundlage heranzuziehen.  

Besondere Verarbeitungsfälle 

Bei der Wahl einer geeigneten Methode ist darauf zu achten, das „mildeste“ Mittel hinsichtlich der Rechte der Arbeitnehmer zu wählen. Demnach sind insbesondere solche Methoden kritisch zu hinterfragen, die personenbezogene Daten besonderer Kategorien i. S. d. Art. 9 DSGVO verarbeiten. Dabei handelte es sich beispielsweise um Systeme, die den Fingerabdruck zur Zeiterfassung auslesen. Dieser ist ein biometrisches Datum nach Art. 9 Abs. 1 DSGVO. Die Verarbeitung dieser sensiblen Daten ist gebunden an strenge Vorgaben. Demnach darf nach § 26 Abs. 3 BDSG die Datenverarbeitung nur erfolgen, „wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist“. Dabei darf das schutzwürdige Interesse der betroffenen Person allerdings nicht überwiegen. Ein solcher Anwendungsfall dürfte aber nur in besonders sensiblen und schützenswerten Arbeitsfeldern gegeben sein.  

Weitere Pflichten 

Unabhängig von der gewählten Methode, hat die DSGVO weitere Auswirkungen auf die Arbeitszeiterfassung. Folglich sollte klar bestimmt sein, welche Mitarbeiter des Unternehmens einen Zugriff auf die personenbezogenen Daten der Zeiterfassung haben. Auch gilt es die personenbezogenen Daten rechtzeitig zu löschen. Eine generelle rechtliche Regelung besteht hierfür nicht. Allerdings bestimmt § 16 Abs. 2 S. 2 ArbZG, dass die personenbezogenen Daten zur Dokumentation von Mehrarbeit nach zwei Jahren zu löschen sind.   

Darüber hinaus muss das Unternehmen der Informationspflicht nach Art. 12 Abs. 1 DSGVO nachkommen. Die Mitarbeiter sind über alle nach Art. 13 DSGVO vorgesehenen Hinweise zu informieren und insbesondere über alle verfolgten Zwecke (siehe oben) zu informieren. Außerdem ist die Arbeitszeiterfassung in das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO aufzunehmen.  

Fazit

Eine datenschutzkonforme Arbeitszeiterfassung ist essenziell, um die Rechte der Mitarbeiter zu wahren und rechtliche Vorgaben zu erfüllen. Unternehmen müssen sicherstellen, dass nur notwendige Daten erhoben und sicher gespeichert werden. Transparente Kommunikation und die Implementierung geeigneter technischer Maßnahmen sind entscheidend, um das Vertrauen der Mitarbeiter zu stärken und Datenschutzrisiken zu minimieren.

Ausblick auf die Reihe

In den kommenden 2 Teilen werden wir uns mit dem Datenschutz im Home-Office und der Nutzung von Whatsapp im geschäftlichen Kontext beschäftigen. Teil 1 behandelte den Umgang mit Bewerberdaten.

Die Einhaltung von Datenschutzvorgaben stellt Unternehmen regelmäßig vor große Herausforderungen. Wir helfen Ihnen als externer Datenschutzbeauftragter – Fordern Sie noch heute Ihr Angebot bei uns an.