Was Arbeitgeber datenschutzrechtlich bei der digitalen Zeiterfassung beachten müssen

An vielen Arbeitsplätzen wird die Arbeitszeit inzwischen digital erfasst. Dies sorgt zwar meist für mehr Transparenz und spart Zeit und Aufwand, bedeutet auf der anderen Seite aber auch, dass sich der Arbeitgeber damit auseinandersetzen muss, wie mit den Daten seiner Mitarbeiter umzugehen ist.

Das Problem

Für den Arbeitgeber liegen die Vorteile der digitalen Zeiterfassung auf der Hand: genaue und nachvollziehbare Dokumentation der Arbeitszeit mit verhältnismäßig wenig Aufwand und nahezu keinem Zeitverlust.

Mit den Daten, die durch Chipkarten, Transponder oder Apps auf dem Handy erfasst werden, können aber auch Arbeitsverhalten sowie Bewegungsprofile von Mitarbeiter sehr genau nachvollzogen werden. Diese Gefahren liegen schon innerhalb des Unternehmens vor. Daneben könnten die Daten aber auch genauso wie alle anderen vom Unternehmen gespeicherten Daten Opfer eines Hackerangriffes von außen oder ähnlichem werden. Sind dann noch biometrische Daten von Mitarbeitern betroffen, die zur Zeiterfassung genutzt werden, kann ein Zugriff von Unbefugten noch weitreichendere Folgen haben.

Das Unternehmen sieht sich bei der digitalen Zeiterfassung vor der Herausforderung, Datenschutz und Privatsphäre der Mitarbeiter zu wahren.

Das ist zu beachten

Meist ist die Datenverarbeitung bei der Zeiterfassung grundsätzlich damit zu rechtfertigen, dass sie der Durchführung des Arbeitsverhältnisses dient (§ 26 I BDSG). Arbeitszeiten können so genau und fair abgerechnet werden. Das liegt auch im berechtigten Interesse des Arbeitgebers (§ 326 I BDSG, Art. 88 I DSGVO).

Geschieht die Zeiterfassung aber digital, sind die Daten einem höheren Risiko ausgesetzt als bei analogen Lösungen. Besonders zu beachten ist hier die Zweckbindung (Art. 5 I lit. b DSGVO). Erhebt der Arbeitgeber die Daten zur Zeiterfassung, darf er sie auch nur dazu verwenden und nicht zB ein Bewegungsprofil des Arbeitnehmers erstellen. Dagegen darf der Arbeitgeber erfassen, wann der Arbeitnehmer an- oder abwesend ist (gerade bei flexiblen Arbeitszeiten), jedoch nicht konkret erfassen, warum er abwesend ist (zB darf „Abwesenheit wegen Krankheit“ erfasst werden nicht aber die bestimmte Krankheit). Das würde das berechtigte Interesse überschreiten und den Schutz der Daten verletzen.

Besonderheiten bei biometrischer Zeiterfassung

Erfasst der Arbeitgeber bei der Zeiterfassung den Fingerabdruck oder die Iris des Arbeitnehmers mittels eines Scans, kann der Arbeitnehmer zwar ganz eindeutig identifiziert und den Daten zugeordnet werden, andererseits werden aber Daten der besonderen Kategorie (Art. 9 I DSGVO) verarbeitet, die besonders schutzwürdig sind.

  • 26 III BDSG erlaubt die Verarbeitung solcher Daten, wenn sie erforderlich ist zur Ausübung oder Erfüllung der Rechte und Pflichten innerhalb eines Arbeitsverhältnisses. Um zu bestimmen, ob dies im konkreten Unternehmen der Fall ist, muss der Schutz der besonderen Kategorie an personenbezogenen Daten mit dem im Unternehmen notwendigen Maß an Sicherheit (Sensibilität der Daten etc) abgewogen werden. Je schutz- und sicherungsbedürftiger die am Arbeitsplatz auffindbaren Informationen und Daten, desto eher gilt eine biometrische Zugangskontrolle (mit Zeiterfassung) als zulässig.

Entscheidend ist für den Arbeitgeber auch hier immer ein transparentes Vorgehen. Bezüglich der Frage, welche Methoden im eigenen Unternehmen am geeignetsten sind und wie diese umsetzbar sind, ist in jedem Fall fachkundige Beratung heranzuziehen.

 

DSB buchen
de_DEDeutsch