Inhaltsverzeichnis
- Auch die Zeiterfassung unterliegt der DSGVO
- 1. Was ist die DSGVO und für wen gilt sie?
- 2. Welche Daten sind personenbezogene Daten?
- 3. Welche Regelungen der DSGVO gelten für die Zeiterfassung und wie können Unternehmen datenschutzkonform arbeiten?
- 4. Ist der Arbeitgebende für die Einhaltung der DSGVO verantwortlich?
- 5. Was ist bei der Zeiterfassung erlaubt und was nicht? Ist die Nutzung von biometrischen Daten zulässig?
- 6. Wie unterstützt Sie eine Zeiterfassung wie TimeTac bei der Einhaltung der DSGVO?
Startseite > blog > Rechtliches
DSGVO und Zeiterfassung: Was gilt es zu beachten?
Lesezeit: 3 Minuten
Zuletzt bearbeitet 18.06.2025
Die Datenschutz-Grundverordnung (DSGVO) legt fest, welche Pflichten Unternehmen haben, wenn sie personenbezogene Daten sammeln und verarbeiten. In diesem Blogbeitrag erfahren Sie von Mag. Philipp Reinisch, Rechtsanwalt mit dem Schwerpunkt Informationsrecht und Datenschutz, was genau die DSGVO ist, welche Auswirkungen sie auf die Zeiterfassung hat und wie TimeTac Sie dabei unterstützt, die Vorgaben der Datenschutz-Grundverordnung einzuhalten.
Auch die Zeiterfassung unterliegt der DSGVO
1. Was ist die DSGVO und für wen gilt sie?
Die DSGVO, oder Datenschutz-Grundverordnung, ist ein Regelwerk der Europäischen Union, das den Umgang mit personenbezogenen Daten im öffentlichen Raum regelt. Sie trat am 25. Mai 2018 in Kraft und verfolgt das Ziel, Datenschutzrichtlinien innerhalb der EU zu harmonisieren. Die Verordnung gilt nicht nur für große Konzerne, sondern für alle Organisationen, einschließlich Unternehmen, Behörden und Vereinen, sowohl innerhalb als auch außerhalb der EU, sofern sie Daten von EU-Bürgerinnen/Bürgern verarbeiten. Die DSGVO wird zusätzlich noch durch nationale Datenschutzvorschriften, wie das BDSG (in Deutschland) oder das DSG (in Österreich) ergänzt.
2. Welche Daten sind personenbezogene Daten?
Personenbezogene Daten sind Informationen, die sich auf eine identifizierbare natürliche Person, also Menschen, beziehen. Dazu zählen Name, Adresse, Mitarbeiternummer und auch in punkto Zeiterfassung individuelle Zeitdaten wie Arbeitsstunden und Pausen, da sie per Definition mit einer Person verknüpft und deshalb personenbezogen sind. Diese Daten sind schützenswert, da sie zur Identifizierung einer Person und zur Erlangung weiterer Informationen über diese Person verwendet werden können.
3. Welche Regelungen der DSGVO gelten für die Zeiterfassung und wie können Unternehmen datenschutzkonform arbeiten?
Bei der Zeiterfassung müssen Unternehmen sicherstellen, dass diese die Grundsätze der DSGVO befolgen. Die rechtlichen Grundlagen der DSGVO besagen, dass personenbezogene Daten rechtmäßig, transparent und ausschließlich zu einem klaren Zweck verarbeitet werden dürfen.
Für die Zeiterfassung bedeutet das konkret:
- Zweckbindung: Es muss klar sein, warum die Daten erfasst werden – in diesem Fall zur Lohn- und Gehaltsabrechnung.
- Datenminimierung: Es dürfen nur notwendige Daten erfasst werden, und sie müssen korrekt und aktuell sein.
- Speicherbegrenzung: Daten dürfen nur so lange aufbewahrt werden, wie es für den Zweck erforderlich ist.
- Vertraulichkeit: Nur autorisierte Personen sollten Zugang zu diesen Informationen haben. Eine Weitergabe an Dritte ist standardmäßig nicht erlaubt.
Des weiteren gilt es die Erlaubnistatbestände gemäß Art. 6 DSGVO zu beachten:
- Einwilligung - diese ist im Beschäftigungskontext ungültig
- Erfüllung eines Vertrags - der Arbeitsvertrag ist zu wenig präzise
- Erfüllung einer rechtlichen Verpflichtung, d.h. Zeiterfassung bzw. Höchstarbeitszeit/Ruhezeit
- Lebenswichtige Interessen einer Person - diese sind nicht zutreffend
- Öffentliches Interesse - ist nicht zutreffend
- Berechtigtes Interesse - ist nicht zutreffend
- Einzel- oder Betriebsvereinbarung - diese ist zulässig
- Verteidigung eigener Rechtsansprüche - teilweise
4. Ist der Arbeitgebende für die Einhaltung der DSGVO verantwortlich?
Ja, der Arbeitgebende trägt als Verantwortlicher im Sinne der DSGVO die Verantwortung für die Einhaltung der DSGVO. Unternehmen müssen sicherstellen, dass alle gesetzlichen Bestimmungen beachtet werden, insbesondere wenn es um die Erfassung personenbezogener Daten geht. Das bedeutet, dass sie geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Daten der Mitarbeitenden zu schützen. Im Falle von Datenschutzverletzungen kann dies zu erheblichen Strafen führen.
5. Was ist bei der Zeiterfassung erlaubt und was nicht? Ist die Nutzung von biometrischen Daten zulässig?
Bei der Zeiterfassung mittels Fingerabdruck oder anderen biometrischen Daten ist Vorsicht geboten. Da es sich um sensible personenbezogene Daten handelt (laut DSGVO personenbezogene Daten besonderer Kategorien), benötigt man hierfür eine ausdrückliche Zustimmung der Mitarbeitenden, und die Anwendung muss die strengen Datenschutzanforderungen erfüllen.
Bei der Erfassung von Standortdaten sowie der Nutzung von Fingerabdrücken zur Zeiterfassung ist besondere Vorsicht geboten. Grundsätzlich ist diese Form der Zeiterfassung nicht zulässig; jedoch kann sie mit entsprechender Rechtsgrundlage durchgeführt werden. Es wird empfohlen, in jedem einzelnen Fall rechtliche Beratung einzuholen.
6. Wie unterstützt Sie eine Zeiterfassung wie TimeTac bei der Einhaltung der DSGVO?
TimeTac stellt die Zeiterfassungs-Software DSGVO-konform zur Verfügung und sorgt dafür, dass die gespeicherten und verarbeiteten Daten vor unberechtigtem Zugriff durch technische und organisatorische Maßnahmen zur Datensicherheit geschützt sind. Zusätzlich stellt TimeTac sicher, dass die Plattform verfügbar ist und stabil benutzt werden kann.
Sie als Kundin/Kunde müssen jedoch Sorge tragen, dass mit den personenbezogenen Daten Ihres Unternehmens sorgsam umgegangen wird und die TimeTac-Zugänge sicher gehalten werden (keine Weitergabe von Passwörtern etc. ) und sind auch für das Einspielen von Daten und die Datenpflege verantwortlich.
Gastautor: Philipp Reinisch
Philipp Reinisch ist Partner und Rechtsanwalt bei Fieldfisher und Spezialist für alle technologiegetriebenen Geschäftsmodelle.
