Login

Zeiterfassung nach DSGVO: dank effizienter Online-Lösung im grünen Bereich

Von Personal
Eine elektronische Zeiterfassung, die DSGVO-konform ist, entlastet Unternehmen und berücksichtigt wichtige Datenschutzbestimmungen. Lesedauer: 6 Minuten

Im Mai 2018 brachte die EU-Datenschutzgrundverordnung (DSGVO) unter anderem geänderte Vorgaben für die Zeiterfassung nach DSGVO in Unternehmen, da es hierbei um personenbezogene Daten der Mitarbeiter geht. Ferner steigt seit dem Urteil des Europäischen Gerichtshofes (EuGH) von Mai 2019, das die vollständige Arbeitszeiterfassung diktiert, der Druck auf die Firmen, eine möglichst elektronische Zeiterfassung gemäß DSGVO einzuführen.

Wie steht es derzeit um die DSGVO-Umsetzung in deutschen Firmen?

Laut einer Studie des Digitalverbands Bitkom mit über 500 befragten Unternehmen hatten im Herbst 2019 rund zwei Drittel den überwiegenden Anteil der DSGVO-Bestimmungen umgesetzt. 24 Prozent der Befragten hatten es teils geschafft, sechs Prozent hatten erste Schritte unternommen. Dennoch äußerte Susanne Dehmel von der Bitkom-Geschäftsleitung: „Die Datenschutz-Grundverordnung trifft vor allem kleine und mittlere Unternehmen hart. Nach wie vor bestehen große Unsicherheiten bei der Auslegung der neuen Regeln. Eine vollständige Umsetzung der DSGVO scheint vielen Unternehmen unmöglich.“

In der Studie wird weiterhin deutlich, dass in über 50 Prozent der Firmen Umsetzungshilfen fehlen und rund ein Drittel der Unternehmen schränkt der Mangel an Fachpersonal ein. Die größte Herausforderung im Zuge der DSGVO ist für viele, den Informations- und Dokumentationspflichten entsprechen zu müssen. Dennoch finden zwei Drittel der Firmen, dass die neue Regelung maßgebliche Akzente für die Handhabung von Personendaten setzt.

DSGVO kurz beleuchtet

Die EU führte die DSGVO im Rahmen ihrer Datenschutzreform ein, um die Verarbeitung personenbezogener Daten durch Unternehmen, Institutionen und andere Stellen zu vereinheitlichen. Laut DSGVO sind „,personenbezogene Daten‘ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“ (DSGVO Kap. I, Art. 4).

Im Hinblick auf eine Zeiterfassung nach DSGVO und auch bezüglich sonstiger Prozesse dürfen Firmen personenbezogene Daten nur mit Erlaubnis der Mitarbeiter und anderer Personen verarbeiten (Art. 6 DSGVO) – unter anderem bestehen hier diese Vorgaben:

  • Der Betreffende stimmt der Verarbeitung seiner Daten zu.
  • Die Verarbeitung ist notwendig, um einen Vertrag zu erfüllen oder um Vorvertragliches zu regeln.
  • Die Verarbeitung ist unabdingbar, um einer rechtlichen Verpflichtung nachzukommen.

Ferner finden sich in Art. 5 der DSGVO diese Grundsätze für die Verarbeitung personenbezogener Daten:

  • Die „Rechtmäßigkeit“ und „Transparenz“ muss gegeben sein, die Verarbeitung hat „nach Treu und Glauben“ zu erfolgen und muss für Mitarbeiter nachvollziehbar sein.
  • Es darf nur für definierte, „eindeutige und legitime Zwecke“ erfasst werden.
  • Das erforderliche Maß ist zu wahren – „Datenminimierung“.
  • Daten müssen auf dem aktuellen Stand sein und sind eventuell zu korrigieren oder löschen.
  • Daten dürfen nur so lange, wie es erforderlich ist, vorgehalten werden – „Speicherbegrenzung“.
  • Die Sicherheit personenbezogener Daten ist zu wahren – „Integrität und Vertraulichkeit“.

Der Verantwortliche einer Firma muss diese Regeln nachweislich einhalten. Bei Unterlassung drohen Bußgelder von bis zu 4 Prozent des gesamten global erwirtschafteten Jahresumsatzes (Art. 83 DSGVO).

Elektronische Zeiterfassung nach DSGVO

Natürlich sollten KMU prüfen, welche Vorgaben der DSGVO für ihre jeweilige Firma gelten. Doch in jedem Fall entlastet eine digitale Lösung zur Verwaltung der Arbeitszeiten der Beschäftigten die Unternehmer bei der Umsetzung dieser EU-Regelung. Verschiedene Modelle stehen für eine Zeiterfassung nach DSGVO zur Auswahl, Online- oder mobile Anwendungen eignen sich besonders gut. Diese meist kostengünstigen Lösungen machen den manuellen Aufwand per Stechuhr, Excel oder anderen manuellen Verfahren obsolet.

Eine elektronische Zeiterfassung nach DSGVO führt die Arbeitszeitkonten, Urlaubs- und Krankheitszeiten der Beschäftigten, verleiht Arbeitgebern den vollen Durchblick und stellt alle Daten für die Entgeltabrechnung bereit, wobei die Datenübermittlung automatisch abläuft. So sparen Firmen enorm viel Zeit, Arbeit und den kleinteiligen Aufwand zur Einhaltung der DSGVO rund um die Arbeitszeit des Teams. Darüber hinaus erlauben die Funktionen der elektronischen Zeiterfassung eine effiziente Personalplanung.

Verzeichnis von Verarbeitungstätigkeiten

Im Zusammenhang mit der Erfassung und Speicherung von Arbeitszeitdaten ist die nach DSGVO geltende Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten einzuhalten. Dieses ist eine Aufstellung der Verfahren und Systeme, mit denen eine Firma personenbezogene Daten verarbeitet.

Falls Sie schon ein Datenschutzmanagement beziehungsweise ein Verfahrensverzeichnis unterhalten, sollten Sie prüfen, inwiefern diese den Anforderungen des Art. 30 DSGVO entsprechen.

Falls eine solche Datenschutzdokumentation nicht in Ihrer Firma vorliegt, sollten Sie eruieren, wann und inwieweit Sie personenbezogene Daten von Mitarbeitern, Kunden, Lieferanten und ähnlichen Beteiligten erfassen und verarbeiten. Hier ist es ein erster Schritt, die genutzten Programme und Tools aufzuführen, mit denen Sie personenbezogene Daten erfassen. So schaffen Sie einen Überblick der Datenströme Ihrer Firma und erhalten eine Basis für das Verzeichnis der Verarbeitungstätigkeiten. Dieses kann sich aus mehreren Verzeichnissen für unterschiedliche Verarbeitungsabläufe zusammensetzen, zum Beispiel aus dem Zeiterfassungssystem, CRM-System, HR-System oder ähnlichen Programmen.

An dieser Stelle sei auf die Einschränkung hingewiesen, dass Unternehmen mit weniger als 250 Beschäftigten von der Verzeichnispflicht befreit sein können. So müssen diese kleineren Firmen gemäß Art. 30 Abs. 5 DSGVO kein Verzeichnis führen – dies trifft jedoch nicht in folgenden Fällen zu:

  • Die durchgeführte Verarbeitung bedeutet ein Risiko für die Rechte und Freiheiten der Betroffenen (etwa beim Thema Scoring).
  • Die Verarbeitung wird nicht nur gelegentlich durchgeführt.
  • Es ist eine Verarbeitung von Datenkategorien nach Artikel 9 Absatz 1 DSGVO (etwa Gesundheitsdaten) beziehungsweise eine Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO.

Vor allem die „nicht nur gelegentliche Verarbeitung“ belässt das Gros der Firmen in der Pflicht, ein Verzeichnis zu unterhalten, da die meisten von ihnen regelmäßig Daten verarbeiten.

Zeiterfassung per Fingerabdruck nach DSGVO

Es bestehen größere Hürden, wenn Firmen eine elektronische Zeiterfassung gemäß DSGVO per Fingerabdruck-, Gesichts- oder Iris-Scans einführen möchten: Denn biometrische Daten sind besondere personenbezogene Daten laut Art. 9 Abs. 1 DSGVO und § 26 Abs. 3 BDSG, deren Verarbeitung untersagt ist und nur in Ausnahmen und unter speziellen Vorgaben durchgeführt werden kann. Potenziell kann die Verarbeitung biometrischer Daten zur Zeiterfassung durch den Arbeitgeber auf einer Einwilligung der Beschäftigten gemäß § 26 Abs. 3 BDSG basieren. Jedoch kann die freiwillige Zustimmung im Rahmen einer Anstellung angezweifelt werden. Ferner muss eine solche Einwilligung stets widerrufbar bleiben – dies ist ein Risiko für Unternehmer.

In manchen Branchen ist es sinnvoll, biometrische Daten sowohl für den Zugang als auch zur digitalen Zeiterfassung zu nutzen, etwa dort, wo die Sicherheit von Räumlichkeiten relevant ist (etwa in Laboren). Andere Branchen sollten eher zur Zeiterfassung per Chipkarten oder vergleichbaren Medien tendieren. Falls Sie eine Zeiterfassung per Fingerabdruck nach DSGVO – oder mittels anderer biometrischer Daten – einführen wollen, sollten Sie im Vorfeld die Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO beachten.

Datenvorhaltung bei Zeiterfassung nach DSGVO

Bezüglich der DSGVO gemäßen Zeiterfassung für Mitarbeiter und auch anderer erfasster Personendaten empfiehlt es sich, diese vollständig zu löschen, wenn der Zweck entfallen ist. Die Löschung ist jedoch erst anzuraten, nachdem der jeweilige Zweck im Verzeichnis der Verarbeitungstätigkeiten festgehalten wurde. In puncto Speicherdauer von personenbezogenen Daten im Zeiterfassungssystem sollten Sie auch den § 16 Abs. 2 ArbZG beachten. Demzufolge sind Daten zu Überstunden zwei Jahre lang vorzuhalten. Zudem entstehen Aufbewahrungsfristen aus steuerrechtlichen Vorgaben, so aus den Bruttolohnlisten nach § 147 Abs. 1 Nr. 2, Abs. 3 AO für sechs Jahre.

Einwilligung der Mitarbeiter

Ein Tipp für KMU-Arbeitgeber: Ihre Mitarbeiter sollten der elektronischen Zeiterfassung nach DSGVO und gleichzeitig der Verarbeitung ihrer personenbezogenen Daten zustimmen. Lassen Sie sich daher ihr schriftliches Einverständnis geben. Auch die Nutzer einer solchen Lösung, die die Zeiterfassungsdaten verarbeiten (zum Beispiel Dienstleister), sollten Ihnen ihre schriftliche Einwilligung zukommen lassen. Bezüglich dieser Zustimmung sollten Sie die Vorgaben nach Artikel 7 DSGVO einhalten, da externe Stellen die Freiwilligkeit dieser Einwilligung anzweifeln könnten. Ein weiterer Tipp ist, den Rat eines externen Datenschutzbeauftragten einzuholen.

So gewährleisten Sie die Zeiterfassung nach DSGVO

Im Internet finden Sie günstige und effiziente Lösungen für die elektronische Zeiterfassung nach DSGVO (Software as a Service). Deren Anbieter stehen dafür ein, dass ihre Systeme datenschutzkonform sind und dieser EU-Regelung entsprechen. Doch auch beim Einsatz einer solchen Lösung obliegt es Ihnen als Unternehmer, korrekt mit den personenbezogenen Daten zu verfahren und diese vor unbefugtem Zugriff zu schützen.

Als Beispiel sei die Online-Anwendung Zeiterfassung im Schichtplaner von Pylot genannt:

  • Es handelt sich um eine modulare, günstige, einfach zu bedienende Lösung. Der Anwender (Unternehmer) bestimmt, welche Module er bestellt und nutzt, zunächst kann er das System gratis testen.
  • Zeiterfassung nach DSGVO auf PC, Tablet, Smartphone: Mitarbeiter erfassen Arbeitszeiten mittels PIN-Codes, Pausen- und Urlaubserfassung inklusive.
  • Arbeitgeber überschauen in einer Auswertung alle dokumentierten Zeiten und Schichten, ein Soll-Ist-Überblick steht bereit. Alle Auswertungen sind auf Wunsch als Excel- oder CSV-Datei verfügbar, dennoch entfällt die mühsame manuelle Bearbeitung.
  • Die DSGVO-Konformität ist beim Zeiterfassungstool als Teil des Schichtplaner Plus gegeben.

Worauf es bei der Zeiterfassung nach DSGVO ankommt

Die Umsetzung der DSGVO bedeutet erheblichen Aufwand für KMU, vor allem umfangreiche Dokumentationspflichten. Zu diesen gehört das Führen eines Verzeichnisses von Verarbeitungstätigkeiten. Dieses steht auch im Zusammenhang mit der Einführung einer Zeiterfassung nach DSGVO. Darüber hinaus sind im Hinblick auf die Nutzung einer digitalen Arbeitszeitdokumentation unter anderem die Grundsätze zur Verarbeitung personenbezogener Daten, die Regeln im Fall biometrischer Datennutzung und die Dauer der Datenspeicherung zu beachten. Werden alle Bestimmungen – stets mit Blick auf die individuelle Situation – eingehalten, kann ein Unternehmer davon ausgehen, einer Zeiterfassung im Einklang mit der DSGVO zu genügen. Effiziente Online-Anwendungen zur elektronischen Zeiterfassung nach DSGVO bringen KMU einen deutlichen Schritt weiter auf ihrem Weg, diese EU-Regelung zu erfüllen.