Arbeitszeiterfassung

Zeiterfassung und Datenschutz: Das sagt die DSGVO

DSGVO und Projektzeiterfassung: So schützen wir Ihre Daten. Erfahren Sie, wie ZEP für sichere und datenschutzkonforme Projektzeiterfassung sorgt & warum IT-Sicherheit entscheidend ist.
Zeiterfassung und Datenschutz: Das sagt die DSGVO

In einer zunehmend digitalen Welt stellt sich für Arbeitgeber und Arbeitnehmer die Frage, welche Regeln und Vorschriften in Bezug auf die Projektzeiterfassung einzuhalten sind. Mit der Datenschutz-Grundverordnung (DSGVO) wurde auch die Projektzeiterfassung in einem neuen Licht betrachtet, da hier personenbezogene Daten im Spiel sind, die strengen Vorgaben unterliegen. Sie sind als Unternehmen daher verpflichtet sicherzustellen, dass die Erfassung und Speicherung dieser Daten den gesetzlichen Bestimmungen entsprechen. Damit Sie Ihre Projektzeiten gesetzeskonform erfassen, speichern und weiterverarbeiten können, legen wir bei ZEP unseren Fokus auf die Sicherheit Ihrer Daten!

Die wichtigsten Informationen im Überblick:

Allgemeine Informationen zur DSGVO
Zeiterfassung – Was ist erlaubt und worauf kommt es an?
Zulässige Speicherdauer von erfassten Arbeitszeiten
Die Rolle des Betriebsrates
Darf der Arbeitgeber Zeiterfassung kontrollieren?

Allgemeine Informationen zur DSGVO

Die DSGVO ist eine Verordnung der Europäischen Union, die den Umgang mit personenbezogenen Daten im öffentlichen Raum regelt. Sie wurde am 25. Mai 2018 eingeführt, um Datenschutzrichtlinien in der EU zu vereinheitlichen. Die DSGVO gilt für Konzerne, Unternehmen, Behören, Praxen, Vereine und sowohl innerhalb als auch außerhalb der Europäischen Union. Außerhalb der EU gelten die Vorschriften, sobald personenbezogene Daten von EU-Bürgern verarbeitet werden oder die datenverarbeitende Stelle eine Niederlassung innerhalb der EU hat (Art. 3, DSGVO).

Was versteht man unter personenbezogenen Daten?

Personenbezogene Daten sind lt. Artikel 4 der DGSVO Informationen, die auf identifizierbare natürliche Personen verweisen. Eine Person ist dann identifizierbar, wenn anhand bestimmter Kriterien eine Identifizierung Bestimmung oder Klassifizierung möglich ist. Dies können beispielsweise der Name, die Personalnummer in Unternehmen, das Aussehen oder auch individuelle Daten zur Zeiterfassung sein. Ja, auch diese Daten können genutzt werden, um eine Person zu erkennen! Aus diesem Grund unterliegt auch die (Projekt-)Zeiterfassung den Bestimmungen der DSGVO.

Datenschutz einhalten: Worauf kommt es bei der Zeiterfassung an?

Die digitale Zeiterfassung ist im Einklang mit dem Datenschutzrecht, insbesondere gemäß § 26 Abs. 1 BDSG, solange Sie die Grundsätze der DSGVO wie Rechtmäßigkeit, Zweckbindung, Datenminimierung und Richtigkeit beachten. Allerdings müssen Sie als Arbeitgeber sicherstellen, dass die erhobenen Daten ausschließlich für arbeitsbezogene Zwecke verwendet werden.

Wichtig: Achten Sie darauf, die Datenschutzrichtlinien einzuhalten! Dies umfasst die Erfassung sowie die Speicherung von Arbeitszeiten – auch bei der Zeiterfassung im Homeoffice.

Rechtsgrundlage für die Erfassung von Arbeitszeiten

Seit dem sogenannten Stechuhr Urteil des Bundesarbeitsgerichts vom 13. September 2022 ist klar: Arbeitgeber müssen die gesamte Arbeitszeit ihrer Angestellten erfassen. Diese Verpflichtung ergibt sich aus § 3 Abs. 2 Nr. 1 ArbSchG sowie § 16 Abs. 2 ArbZG. Dabei müssen Sie nicht nur die täglichen Arbeitszeiten über acht Stunden, sondern auch die an Sonn- und Feiertagen geleistete Arbeitszeit Ihrer Mitarbeiter dokumentieren.

Zusätzlich dazu müssen Sie die Arbeitszeitnachweise mindestens zwei Jahre lang aufbewahren und sie auf Verlangen der Aufsichtsbehörde vorlegen oder zur Einsicht zusenden.

Um die genaue Ausgestaltung dieser Aufzeichnungspflicht zu klären, hat das Bundesministerium für Arbeit und Soziales im April 2023 einen Referentenentwurf erarbeitet, der derzeit noch internen Regierungsdiskussionen und weiterer Ausarbeitung unterliegt.

Kommt 2024 Gesetz zur Zeiterfassung?

Zulässige Speicherdauer von erfassten Arbeitszeiten

Die Datenschutzrichtlinien bezüglich der Arbeitszeiterfassung sind ähnlich wie bei anderen personenbezogenen Daten. Als Arbeitgeber sind Sie verpflichtet, nicht zweckgebundene Daten zu löschen, d.h. aufgezeichnete Arbeitszeiten dürfen nur so lange gespeichert werden, wie sie wirklich benötigt werden. So vermeiden Sie Datenschutzverstöße.

Im Gegensatz dazu müssen Überstunden gemäß § 16 ArbZG für zwei Jahre gespeichert werden. Lohnlisten sind sogar gemäß steuerlicher Vorschriften, wie § 147 Abs. 1 Nr. 2, Abs. 3 AO, sechs bis zehn Jahre aufzubewahren.

Um den Vorgaben der DSGVO und anderen arbeitsrechtlichen Regelungen gerecht zu werden, ist es ratsam, ein detailliertes Löschkonzept zu erstellen. Dabei ist besonders wichtig zu beachten, dass personenbezogene Daten nicht länger als unbedingt erforderlich gespeichert werden dürfen. Durch die Begrenzung der Datenspeicherung sollen Datenverluste und unbefugte Nutzung von personenbezogenen Daten vermieden werden, während gleichzeitig das Recht auf Vergessenwerden für die betroffenen Personen gewährleistet wird.

IT-Sicherheit & digitale Zeiterfassung – Ein unschlagbares Team

Zusätzlich zur DSGVO ist natürlich auch die IT-Sicherheit bei der Projektzeiterfassung von großer Bedeutung. Wenn Sie Zeiterfassungsdaten mithilfe von Software zur Projektzeiterfassung speichern, müssen Sie sicherstellen, dass die Daten vertraulich behandelt werden. Im Idealfall liegt der Server hierfür in Deutschland, um die Einhaltung der Datenschutz-Grundverordnung zu gewährleisten. Einige Provider für Projektzeiterfassungssoftware – so wie ZEP – hosten ihre Softwares bei ISO-27001-zertifizierten Partnern, was die Einhaltung von Informationssicherheitsrichtlinien sicherstellt.

Der Betriebsrat hat Mitspracherecht

Ihr Unternehmen hat einen Betriebsrat? Dann sollten Sie beachten, dass dieser gemäß § 87 Abs. 1 Nr. 6 des Betriebsverfassungsgesetzes (BetrVG) ein Mitbestimmungsrecht bei der Einführung eines Zeiterfassungssystems hat. Allerdings: Auch der Betriebsrat muss die DSGVO-konformen Aspekte der (Projekt-)Zeiterfassung berücksichtigen. Vereinbarungen zwischen Betriebsrat und Arbeitgeber sollte folgende Punkte zur Arbeitszeit- und Projektzeiterfassung umfassen:

  • Definition der erfassten Daten und deren Zweck der Erfassung
  • Zugriffsrechte und Auswertungen im Rahmen der Erfassung
  • Regelungen zur GPS-Standortübertragung während der Erfassung

Typische Stolperfallen bei der Datenschutz-konformen Zeiterfassung

Nach der sorgfältigen Überprüfung und Auswahl eines Tools zur Datenschutz-konformen und flexiblen Arbeitszeiterfassung erfolgt die Implementierung in Ihren Geschäftsalltag. Wichtig dabei ist, dass Sie vor allem ein Auge auf die Zweckbindung und Datenminimierung gemäß DSGVO achten, denn: Stolperfallen lauern hinter jeder Ecke.

Wer darf das Arbeitszeitkonto einsehen?

Abgesehen vom Betriebsrat (gem. § 80 Abs. 1 Nr. 1 BetrVG), den individuellen Mitarbeitern und dem Arbeitgeber ist niemand befugt, auf die Daten der Arbeitszeiterfassung zuzugreifen. Ausnahme: Die betroffene Person hat ihre ausdrückliche Zustimmung gegeben, dass auch eine andere Person außerhalb der genannten Befugten das Arbeitszeitkonto einsehen darf.

Aushängende Dienstpläne und der Datenschutz

Arbeitnehmer haben grundsätzlich keinen automatischen Anspruch darauf, den kompletten Dienstplan einzusehen. Die Veröffentlichung sollte nur mit ausdrücklicher Zustimmung aller Mitarbeiter erfolgen, um Datenschutzrichtlinien zu erfüllen. Als Arbeitgeber müssen Sie das Einverständnis zur Veröffentlichung einholen und dürfen Daten nicht gegen den Willen einzelner Mitarbeiter veröffentlichen. Die interne Bereitstellung von Dienst- und Schichtplänen kann gemäß § 26 BDSG erfolgen, wenn dies für das Arbeitsverhältnis erforderlich ist.

Überwachung am Arbeitsplatz

Als Arbeitgeber dürfen Sie die Arbeitsleistung ihrer Mitarbeiter kontrollieren, müssen aber dabei Datenschutzrichtlinien sowie das allgemeine Persönlichkeitsrecht aus Art. 2 Abs. 1 GG einhalten. Eine dauerhafte Überwachung ist unzulässig – Stichproben sind aber erlaubt. Detaillierte Einblicke in Buchungen über eine Software müssen Sie durch eine Dienstvereinbarung mit Ihren Angestellten regeln.

Zeiterfassung im Einklang mit der DSGVO: ZEP hilft…

… mit Auftragsverarbeitungsverträgen:
Mit jedem Kunden, der eine ZEP Lizenz zur Zeiterfassung erwirbt, schließen wir einen Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 Absatz 3 DSGVO ab. Dies ist entscheidend, um die rechtlichen Aspekte der Datenverarbeitung zu klären. Der AVV definiert Datenschutzstandards, legt Verantwortlichkeiten und Pflichten fest und regelt Haftungsfragen bei Datenschutzverstößen. Ebenso dient er als Nachweis der Datenschutzbestimmungen und schafft eine transparente und rechtlich verbindliche Grundlage für die Zusammenarbeit zwischen den Parteien. Schließlich handelt es sich bei der Zeiterfassung um sensible Daten, die geschützt werden müssen, damit keine unbefugten Zugriffe erfolgen.

… mit Hochsicherheitsrechenzentren:
Die Sicherheit Ihrer Daten hat für uns höchste Priorität. Unsere Hosting-Partner sind ISO/IEC 27001 zertifiziert und erfüllen höchste Sicherheitsstandards. Zudem legen wir großen Wert auf physische Sicherheitsaspekte bei der Auswahl unserer Rechenzentren, einschließlich Brandschutzmaßnahmen und unterbrechungsfreier Stromversorgung, um sicherzustellen, dass Ihre Daten jederzeit geschützt sind.

… mit Datenzugriff rund um die Uhr:
Durch die permanente Überwachung der Erreichbarkeit und die Kapazitäten unserer Server gewährleisten wir Ihnen einen zuverlässigen 24/7 Zugriff auf Ihre Daten. Diese kontinuierliche Überwachung stellt sicher, dass Sie jederzeit und an jedem Tag auf Ihre Daten zugreifen können, ohne Unterbrechungen oder Ausfälle. Dabei bieten wir Ihnen einen sicheren und digitalen Zugriff, der vollständig den Anforderungen der Datenschutz-Grundverordnung (DSGVO) entspricht.

… mit automatisierter Datensicherung:
In unseren Rechenzentren erfolgt eine automatisierte redundante Datensicherung mit verschlüsselter Speicherung. Die Backup-Intervalle reichen von täglich in den ersten 14 Tagen bis zu längeren Intervallen von bis zu 133 Tagen. Dadurch können Sie jederzeit ein Backup Ihrer ZEP-Version anfordern, was sowohl die Sicherheit Ihrer Daten als auch eine schnelle Wiederherstellung im Notfall ermöglicht. Zusätzlich haben wir ein Desaster-Recovery-Konzept implementiert, um Ihnen im unwahrscheinlichen Fall eines Totalausfalls des Systems eine zusätzliche Sicherheitsebene zu bieten.

Fazit: Setzen Sie auf zukunftsorientierte Zeiterfassung mit ZEP

Die Digitalisierung hat längst Einzug in alle Bereiche unseres Arbeitslebens gehalten und die Projektzeiterfassung bildet hier keine Ausnahme. Gerade in Zeiten, in denen Datenschutz und Datensicherheit immer mehr an Bedeutung gewinnen, ist es unerlässlich, dass Sie Ihre Zeiterfassungssysteme an die Anforderungen der DSGVO anpassen.

Mit ZEP bieten wir Ihnen nicht nur eine Lösung für die mobile Zeiterfassung, sondern sind auch verlässlicher Partner in Sachen Datenschutz und IT-Sicherheit. Wir verstehen die Sensibilität Ihrer Daten und haben deshalb höchste Sicherheitsstandards implementiert.

In einer Zeit, in der die digitale Transformation unaufhaltsam voranschreitet und Datenschutz zu einem zentralen Thema wird, ist es wichtiger denn je, auf zukunftsorientierte Lösungen zu setzen.

ZEP Testversion - 30 Tage kostenlos

Tanja Hartmann ZEP

Tanja Hartmann

Content Marketing Managerin bei ZEP

Weitere interessante Artikel

Mobile Zeiterfassung im Fokus: Vorteile und Apps

Mobile Zeiterfassungs-Apps sind unverzichtbar in einer sich wandelnden Arbeitswelt, ermöglichen genaue Arbeitszeiterfassung und bieten einige Vorteile. Die ZEP-App ist eine komfortable Lösung mit vielfältigen Funktionen.

Artikel lesen

Arbeitszeitbetrug nachweisen: Darauf kommt es an
Wenn Arbeitnehmer vorsätzlich ihre Arbeitszeit manipulieren oder ihre Arbeitsleistung dem Unternehmen vorenthalten, spricht man von Arbeitszeitbetrug. Wie Sie als Arbeitgeber Arbeitszeitbetrug nachweisen, lesen Sie hier.

Artikel lesen