Work time tracking

Time recording and data protection: what the GDPR says

DSGVO and project time recording: How we protect your data. Find out how ZEP ensures secure and data protection-compliant project time recording & why IT security is crucial.
Time recording and data protection: what the GDPR says

In einer zunehmend digitalen Welt stellt sich für Arbeitgeber und Arbeitnehmer die Frage, welche Regeln und Vorschriften in Bezug auf die Projektzeiterfassung einzuhalten sind. Mit der Datenschutz-Grundverordnung (DSGVO) wurde auch die Projektzeiterfassung in einem neuen Licht betrachtet, da hier personenbezogene Daten im Spiel sind, die strengen Vorgaben unterliegen. Sie sind als Unternehmen daher verpflichtet sicherzustellen, dass die Erfassung und Speicherung dieser Daten den gesetzlichen Bestimmungen entsprechen. Damit Sie Ihre Projektzeiten gesetzeskonform erfassen, speichern und weiterverarbeiten können, legen wir bei ZEP unseren Fokus auf die Sicherheit Ihrer Daten!

Die wichtigsten Informationen im Überblick:

General information on the GDPR
Zeiterfassung – Was ist erlaubt und worauf kommt es an?
Zulässige Speicherdauer von erfassten Arbeitszeiten
The role of the works council
Can the employer monitor time recording?

General information on the GDPR

The GDPR is a Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten im öffentlichen Raum regelt. Sie wurde am 25. Mai 2018 eingeführt, um Datenschutzrichtlinien in der EU zu vereinheitlichen. Die DSGVO gilt für Konzerne, Unternehmen, Behören, Praxen, Vereine und sowohl innerhalb als auch außerhalb der Europäischen Union. Außerhalb der EU gelten die Vorschriften, sobald personenbezogene Daten von EU-Bürgern verarbeitet werden oder die datenverarbeitende Stelle eine Niederlassung innerhalb der EU hat (Art. 3, GDPR).

What is personal data?

Personal data is not protected according to Article 4 of the DGSVO Informationen, die auf identifizierbare natürliche Personen verweisen. Eine Person ist dann identifizierbar, wenn anhand bestimmter Kriterien eine Identifizierung Bestimmung oder Klassifizierung möglich ist. Dies können beispielsweise der Name, die Personalnummer in Unternehmen, das Aussehen oder auch individuelle Daten zur Zeiterfassung sein. Ja, auch diese Daten können genutzt werden, um eine Person zu erkennen! Aus diesem Grund unterliegt auch die (Projekt-)Zeiterfassung den Bestimmungen der DSGVO.

Comply with data protection: What is important for time recording?

Die digitale Zeiterfassung ist im Einklang mit dem Datenschutzrecht, insbesondere gemäß § 26 Abs. 1 BDSG, solange Sie die Grundsätze der DSGVO wie Rechtmäßigkeit, Zweckbindung, Datenminimierung und Richtigkeit beachten. Allerdings müssen Sie als Arbeitgeber sicherstellen, dass die erhobenen Daten ausschließlich für arbeitsbezogene Zwecke verwendet werden.

Important: Achten Sie darauf, die Datenschutzrichtlinien einzuhalten! Dies umfasst die Erfassung sowie die Speicherung von Arbeitszeiten – auch bei der Time recording in the home office.

Rechtsgrundlage für die Erfassung von Arbeitszeiten

Since the so-called Time clock judgement des Bundesarbeitsgerichts vom 13. September 2022 ist klar: Arbeitgeber müssen die gesamte Arbeitszeit ihrer Angestellten erfassen. Diese Verpflichtung ergibt sich aus § 3 Abs. 2 Nr. 1 ArbSchG and § 16 Abs. 2 ArbZG. Dabei müssen Sie nicht nur die täglichen Arbeitszeiten über acht Stunden, sondern auch die an Sonn- und Feiertagen geleistete Arbeitszeit Ihrer Mitarbeiter dokumentieren.

Zusätzlich dazu müssen Sie die Arbeitszeitnachweise mindestens zwei Jahre lang aufbewahren und sie auf Verlangen der Aufsichtsbehörde vorlegen oder zur Einsicht zusenden.

Um die genaue Ausgestaltung dieser Aufzeichnungspflicht zu klären, hat das Bundesministerium für Arbeit und Soziales im April 2023 einen Referentenentwurf erarbeitet, der derzeit noch internen Regierungsdiskussionen und weiterer Ausarbeitung unterliegt.

Time recording law coming in 2024?

Zulässige Speicherdauer von erfassten Arbeitszeiten

Die Datenschutzrichtlinien bezüglich der Arbeitszeiterfassung sind ähnlich wie bei anderen personenbezogenen Daten. Als Arbeitgeber sind Sie verpflichtet, nicht zweckgebundene Daten zu löschen, d.h. aufgezeichnete Arbeitszeiten dürfen nur so lange gespeichert werden, wie sie wirklich benötigt werden. So vermeiden Sie Datenschutzverstöße.

Im Gegensatz dazu müssen Überstunden gemäß § 16 ArbZG für zwei Jahre gespeichert werden. Lohnlisten sind sogar gemäß steuerlicher Vorschriften, wie § 147 Abs. 1 Nr. 2, Abs. 3 AOsix to ten years.

Um den Vorgaben der DSGVO und anderen arbeitsrechtlichen Regelungen gerecht zu werden, ist es ratsam, ein detailliertes Löschkonzept zu erstellen. Dabei ist besonders wichtig zu beachten, dass personenbezogene Daten nicht länger als unbedingt erforderlich gespeichert werden dürfen. Durch die Begrenzung der Datenspeicherung sollen Datenverluste und unbefugte Nutzung von personenbezogenen Daten vermieden werden, während gleichzeitig das Recht auf Vergessenwerden für die betroffenen Personen gewährleistet wird.

IT-Sicherheit & digitale Zeiterfassung – Ein unschlagbares Team

Zusätzlich zur DSGVO ist natürlich auch die IT-Sicherheit bei der Projektzeiterfassung von großer Bedeutung. Wenn Sie Zeiterfassungsdaten mithilfe von Software zur Projektzeiterfassung speichern, müssen Sie sicherstellen, dass die Daten vertraulich behandelt werden. Im Idealfall liegt der Server hierfür in Deutschland, um die Einhaltung der Datenschutz-Grundverordnung zu gewährleisten. Einige Provider für Projektzeiterfassungssoftware – so wie ZEP – hosten ihre Softwares bei ISO-27001-zertifizierten Partnern, was die Einhaltung von Informationssicherheitsrichtlinien sicherstellt.

The works council has a say

Ihr Unternehmen hat einen Betriebsrat? Dann sollten Sie beachten, dass dieser gemäß § 87 Abs. 1 Nr. 6 des Betriebsverfassungsgesetzes (BetrVG) ein Mitbestimmungsrecht bei der Einführung eines Zeiterfassungssystems hat. Allerdings: Auch der Betriebsrat muss die DSGVO-konformen Aspekte der (Projekt-)Zeiterfassung berücksichtigen. Vereinbarungen zwischen Betriebsrat und Arbeitgeber sollte folgende Punkte zur Arbeitszeit- und Projektzeiterfassung umfassen:

  • Definition of the data collected and their purpose of collection
  • Access rights and evaluations within the scope of recording
  • Regelungen zur GPS-Standortübertragung während der Erfassung

Typical pitfalls in data protection-compliant time recording

Nach der sorgfältigen Überprüfung und Auswahl eines Tools zur Datenschutz-konformen und flexible working time recording erfolgt die Implementierung in Ihren Geschäftsalltag. Wichtig dabei ist, dass Sie vor allem ein Auge auf die Zweckbindung und Datenminimierung gemäß DSGVO achten, denn: Stolperfallen lauern hinter jeder Ecke.

Who is authorised to view the working time account?

Apart from the works council (gem. § 80 Abs. 1 Nr. 1 BetrVG), den individuellen Mitarbeitern und dem Arbeitgeber ist niemand befugt, auf die Daten der Arbeitszeiterfassung zuzugreifen. Ausnahme: Die betroffene Person hat ihre ausdrückliche Zustimmung gegeben, dass auch eine andere Person außerhalb der genannten Befugten das Arbeitszeitkonto einsehen darf.

Aushängende Dienstpläne und der Datenschutz

Arbeitnehmer haben grundsätzlich keinen automatischen Anspruch darauf, den kompletten Dienstplan einzusehen. Die Veröffentlichung sollte nur mit ausdrücklicher Zustimmung aller Mitarbeiter erfolgen, um Datenschutzrichtlinien zu erfüllen. Als Arbeitgeber müssen Sie das Einverständnis zur Veröffentlichung einholen und dürfen Daten nicht gegen den Willen einzelner Mitarbeiter veröffentlichen. Die interne Bereitstellung von Dienst- und Schichtplänen kann gemäß § 26 BDSG erfolgen, wenn dies für das Arbeitsverhältnis erforderlich ist.

Überwachung am Arbeitsplatz

Als Arbeitgeber dürfen Sie die Arbeitsleistung ihrer Mitarbeiter kontrollieren, müssen aber dabei Datenschutzrichtlinien sowie das allgemeine Persönlichkeitsrecht aus Art. 2 para. 1 GG einhalten. Eine dauerhafte Überwachung ist unzulässig – Stichproben sind aber erlaubt. Detaillierte Einblicke in Buchungen über eine Software müssen Sie durch eine Dienstvereinbarung mit Ihren Angestellten regeln.

Zeiterfassung im Einklang mit der DSGVO: ZEP hilft…

… mit Auftragsverarbeitungsverträgen:
Mit jedem Kunden, der eine ZEP Lizenz zur Zeiterfassung erwirbt, schließen wir einen Auftragsverarbeitungsvertrag (AVV) gemäß Article 28(3) GDPR ab. Dies ist entscheidend, um die rechtlichen Aspekte der Datenverarbeitung zu klären. Der AVV definiert Datenschutzstandards, legt Verantwortlichkeiten und Pflichten fest und regelt Haftungsfragen bei Datenschutzverstößen. Ebenso dient er als Nachweis der Datenschutzbestimmungen und schafft eine transparente und rechtlich verbindliche Grundlage für die Zusammenarbeit zwischen den Parteien. Schließlich handelt es sich bei der Zeiterfassung um sensible Daten, die geschützt werden müssen, damit keine unbefugten Zugriffe erfolgen.

… mit Hochsicherheitsrechenzentren:
Die Sicherheit Ihrer Daten hat für uns höchste Priorität. Unsere Hosting-Partner sind ISO/IEC 27001 zertifiziert und erfüllen höchste Sicherheitsstandards. Zudem legen wir großen Wert auf physische Sicherheitsaspekte bei der Auswahl unserer Rechenzentren, einschließlich Brandschutzmaßnahmen und unterbrechungsfreier Stromversorgung, um sicherzustellen, dass Ihre Daten jederzeit geschützt sind.

… mit Datenzugriff rund um die Uhr:
Durch die permanente Überwachung der Erreichbarkeit und die Kapazitäten unserer Server gewährleisten wir Ihnen einen zuverlässigen 24/7 Zugriff auf Ihre Daten. Diese kontinuierliche Überwachung stellt sicher, dass Sie jederzeit und an jedem Tag auf Ihre Daten zugreifen können, ohne Unterbrechungen oder Ausfälle. Dabei bieten wir Ihnen einen sicheren und digitalen Zugriff, der vollständig den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entspricht.

… mit automatisierter Datensicherung:
In unseren Rechenzentren erfolgt eine automatisierte redundante Datensicherung mit verschlüsselter Speicherung. Die Backup-Intervalle reichen von täglich in den ersten 14 Tagen bis zu längeren Intervallen von bis zu 133 Tagen. Dadurch können Sie jederzeit ein Backup Ihrer ZEP-Version anfordern, was sowohl die Sicherheit Ihrer Daten als auch eine schnelle Wiederherstellung im Notfall ermöglicht. Zusätzlich haben wir ein Desaster-Recovery-Konzept implementiert, um Ihnen im unwahrscheinlichen Fall eines Totalausfalls des Systems eine zusätzliche Sicherheitsebene zu bieten.

Conclusion: Rely on future-orientated time recording with ZEP

Die Digitalisierung hat längst Einzug in alle Bereiche unseres Arbeitslebens gehalten und die Projektzeiterfassung bildet hier keine Ausnahme. Gerade in Zeiten, in denen Datenschutz und Datensicherheit immer mehr an Bedeutung gewinnen, ist es unerlässlich, dass Sie Ihre Zeiterfassungssysteme an die Anforderungen der DSGVO anpassen.

Mit ZEP bieten wir Ihnen nicht nur eine Lösung für die Mobile time recording, sondern sind auch verlässlicher Partner in Sachen Datenschutz und IT-Sicherheit. Wir verstehen die Sensibilität Ihrer Daten und haben deshalb höchste Sicherheitsstandards implementiert.

In einer Zeit, in der die digitale Transformation unaufhaltsam voranschreitet und Datenschutz zu einem zentralen Thema wird, ist es wichtiger denn je, auf zukunftsorientierte Lösungen zu setzen.

ZEP trial version - 30 days free of charge

Tanja Hartmann CEP

Tanja Hartmann

Content Marketing Manager at ZEP

More interesting articles

Agile working explained: advantages, examples and tips
How can ZEP help your team to utilise short time intervals effectively and focus on important tasks? Use digital support to successfully implement agile working in your team and maximise the profitability of your projects.

Read article

Focus on mobile time recording: advantages and apps

Mobile time recording apps are indispensable in a changing working world, enable accurate time recording and offer several advantages. The ZEP app is a convenient solution with a wide range of functions.

Read article