Datenschutz bei der digitalen Zeiterfassung

Spätestens seit der Dokumentationspflicht der täglichen Arbeitszeiten, die der Europäische Gerichtshof durch ein Urteil festgelegt hat, ist es für Unternehmen Standard geworden, diese elektronisch zu erfassen. Mit der Vielzahl an Möglichkeiten, die man sich bei der Zeiterfassung zunutze machen kann, steigt mit wachsender Digitalisierung auch die Frage nach der Datensicherheit für die Mitarbeitenden. Durch die agilen und ortsunabhängigen Arbeitsmodelle, die es heutzutage gibt, sind Arbeitnehmende zunehmend flexibel in ihrem Standort. In diesem Artikel erläutern wir, welche Formen der Zeiterfassung erlaubt sind und welche Maßnahmen nicht datenschutzkonform wären.

Grundsätzlich vereint ein gelungenes Zeiterfassungssystem in erster Linie die relevanten Daten der Mitarbeitenden: den Namen (oder die Personalzuordnungsnummer) sowie Beginn und Ende der Arbeitszeit inklusive der Pausenzeiten. Die Dokumentation muss mindestens zwei Jahre lang aufbewahrt werden, sodass bei Unstimmigkeiten auch nach der Aufzeichnung noch darauf zurückgegriffen werden kann. Der Nachweis der erbrachten Stunden ist für die Lohnbuchhaltung essenziell und auch für die Führung eines Gleitzeitkontos erforderlich. Aus diesem Grund müssen die Mitarbeitenden nicht ausdrücklich in die Erfassung der und Verarbeitung der Arbeitszeiten einwilligen. Nichtsdestotrotz ist für die Arbeitnehmer*innen der rechtliche Schutz aus der Datenschutz-Grundverordnung (DSGVO) gewährleistet.

Seit Mai 2018 gilt in der EU die Datenschutz-Grundverordnung und dient vor allem der Vereinheitlichung der Rahmenbedingungen zur Verarbeitung und Verwendung personenbezogener Daten durch Unternehmen. Der Zweck der DSGVO ist der Schutz im Umgang mit personenbezogenen Daten, aber auch die Gewährleistung des freien Datenverkehrs innerhalb der europäischen Union. Dazu gehört auch die Erfassung von Arbeitszeiten.

Die Grundprinzipien und Anforderung der DSGVO müssen auf Arbeitnehmerseite umgesetzt werden und sind in Art. 5 DSGVO formuliert. Sie lauten wie folgt:

Grundsätzlich kann man als Arbeitgeber*in frei wählen, welche Art der Zeiterfassung für den Betrieb genutzt wird – sei es die händische Listenführung über Excel oder die digitale Arbeitszeiterfassung mithilfe einer Software.

Das Tracking von GPS-Standortdaten ist eine Form der Erfassung, die vor allem zum Einsatz kommt, wenn die Mitarbeitenden im Außendienst arbeiten; das hilft Arbeitgebenden zu erkennen, an welchen Tagen sich die Arbeitnehmenden im Außeneinsatz befinden. Allerdings ist es gerade bei der GPS-Überwachung wichtig, bestimmte Rahmenbedingungen einzuhalten, damit die Datenschutzkonformität nicht beeinträchtigt wird. Gerade beim Arbeiten im Home Office handelt es sich um hochgradig sensible, personenbezogene Informationen, die schützenswert sind.

Es ist aus diesem Grund notwendig, dass die Mitarbeitenden in das GPS-Tracking zustimmt; hierfür müssen die Mitarbeitenden in den Zweck der GPS-Überwachung, die Datennutzung und die Datenverarbeitung explizit und durch Unterschrift einwilligen. Falls ein Betriebsrat vorhanden ist, kann die Einführung dieser Maßnahme im Rahmen einer Betriebsvereinbarung festgelegt werden, die beschreibt, unter welchen Umständen das Tracking erlaubt ist.

Es ist zu beachten, dass die GPS-Datenerhebung nur dann datenschutzrechtlich konform ist, wenn die Mitarbeitenden die Ortung selbst auslösen. Sie müssen sich also mit eingeschaltetem Geo-Tag in der App einstempeln oder ausstempeln, damit die Daten verarbeitet werden können – die Daten dürfen nicht über den ganzen Tag hinweg getrackt werden. Vor allem, wenn die Mitarbeitenden das mobile Endgerät auch privat nutzen, muss sichergestellt werden, dass die App nicht im Hintergrund Standortdaten erfasst. Permanente Standorterfassung in Form einer Überwachung ist verboten und es muss den Mitarbeitenden in der App transparent aufgezeigt werden, wann die Standorterfassung aktiviert ist.

Unter biometrischen Daten versteht man biologische Messwerte, die sich eindeutig einer Person zuordnen lassen und dadurch der Identifizierung dienen. Dazu zählt beispielsweise der Fingerabdruck. Auch bei der Zeiterfassung birgt die Verifizierung über biometrische Daten den Vorteil, dass Mitarbeiter*innen klar und zuverlässig zugeordnet werden können und Missbrauch der digitalen Zeiterfassungssysteme ausgeschlossen werden kann. Allerdings handelt es sich hierbei um hochgradig senbsible Daten, die nach Art. 9 Abs. 1 DSGVO an besondere Zulässigkeitsvoraussetzungen geknüpft sind. Arbeitgeber*innen dürfen von ihren Mitarbeitenden nicht verlangen, diese Daten zu nutzen, da das individuelle Persönlichkeitsrecht im Rahmen einer Abwägung der schutzwürdigen Interessen das Interesse der Arbeitgebenden klar überwiegt. Arbeitgeber*innen haben in der Regel ausreichend Möglichkeiten, die Zeiterfassung ihrer Mitarbeitenden mit weniger gravierendem Eingriff in das Persönlichkeitsrecht durchzuführen. Im Übrigen sind Bilder nicht grundsätzlich als „biometrische Daten“ im Sinne des Art. 9 DSGVO zu verstehen, wie aus dem Erwägungsgrund 51 Satz 3 DSGVO hervorgeht: Demnach sind nur jene Bilddaten „biometrisch“, die mit speziellen technischen Mitteln verarbeitet werden und die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Somit sind spontan aufgenommene Bildaufnahmen, die zur Verifizierung bei der Zeiterfassung genutzt werden, nicht an die oben erwähnten besonderen Zulässigkeitsvoraussetzungen geknüpft.