An vielen Arbeitsplätzen findet die Zeiterfassung inzwischen digital statt. Dies sorgt meist für mehr Transparenz und spart Zeit und Aufwand. Auf der anderen Seite bedeutet dies aber auch, dass sich der Arbeitgeber mit dem Umgang mit Mitarbeiterdaten auseinandersetzen muss.
Das Problem
Für den Arbeitgeber liegen die Vorteile der digitalen Zeiterfassung auf der Hand. Genaue und nachvollziehbare Dokumentation der Arbeitszeit mit verhältnismäßig wenig Aufwand und nahezu keinem Zeitverlust sind die großen Vorteile.
Mit den Daten, die durch Chipkarten, Transponder oder Apps auf dem Handy erfasst werden, können aber auch Arbeitsverhalten sowie Bewegungsprofile von Mitarbeiter sehr genau nachvollzogen werden. Diese Gefahren liegen schon innerhalb des Unternehmens vor. Daneben könnten die Daten aber auch genauso wie alle anderen gespeicherten Daten Opfer eines Hackerangriffes von außen werden. Sind dann noch biometrische Daten von Mitarbeitern betroffen, die zur Zeiterfassung dienen, kann ein Zugriff von Unbefugten noch weitreichendere Folgen haben.
Das Unternehmen sieht sich bei der digitalen Zeiterfassung vor der Herausforderung, Datenschutz und Privatsphäre der Mitarbeiter zu wahren.
Das ist zu beachten
Meist ist die Datenverarbeitung bei der Zeiterfassung grundsätzlich damit zu rechtfertigen, dass sie der Durchführung des Arbeitsverhältnisses dient (§ 26 I BDSG). Arbeitszeiten können so genau und fair abgerechnet werden. Das liegt auch im berechtigten Interesse des Arbeitgebers (§ 326 I BDSG, Art. 88 I DSGVO).
Geschieht die Zeiterfassung aber digital, sind die Daten einem höheren Risiko ausgesetzt als bei analogen Lösungen. Besonders zu beachten ist hier die Zweckbindung (Art. 5 I lit. b DSGVO). Erhebt der Arbeitgeber die Daten zur Zeiterfassung, darf er sie auch nur dazu verwenden und nicht zB ein Bewegungsprofil des Arbeitnehmers erstellen. Dagegen darf der Arbeitgeber erfassen, wann der Arbeitnehmer an- oder abwesend ist (gerade bei flexiblen Arbeitszeiten), jedoch nicht konkret erfassen, warum er abwesend ist (zB darf „Abwesenheit wegen Krankheit“ erfasst werden nicht aber die bestimmte Krankheit). Das würde das berechtigte Interesse überschreiten und den Schutz der Daten verletzen.
Besonderheiten bei biometrischer Zeiterfassung
Erfasst der Arbeitgeber bei der Zeiterfassung den Fingerabdruck oder die Iris des Arbeitnehmers mittels eines Scans, kann der Arbeitnehmer zwar ganz eindeutig identifiziert und den Daten zugeordnet werden, andererseits werden aber Daten der besonderen Kategorie (Art. 9 I DSGVO) verarbeitet, die besonders schutzwürdig sind.
§ 26 III BDSG erlaubt die Verarbeitung solcher Daten, wenn sie erforderlich ist zur Ausübung oder Erfüllung der Rechte und Pflichten innerhalb eines Arbeitsverhältnisses. Um zu bestimmen, ob dies im konkreten Unternehmen der Fall ist, muss der Schutz der besonderen Kategorie an personenbezogenen Daten mit dem im Unternehmen notwendigen Maß an Sicherheit (Sensibilität der Daten etc) abgewogen werden. Je schutz- und sicherungsbedürftiger die am Arbeitsplatz auffindbaren Informationen und Daten, desto eher gilt eine biometrische Zugangskontrolle (mit Zeiterfassung) als zulässig.
Entscheidend ist für den Arbeitgeber auch hier immer ein transparentes Vorgehen. Bezüglich der Frage, welche Methoden im eigenen Unternehmen am geeignetsten sind und wie diese umsetzbar sind, ist in jedem Fall fachkundige Beratung heranzuziehen.
In Zukunft sind zudem neue Regelungen zur Zeiterfassung vom deutschen Gesetzgeber zu erwarten. Näheres dazu erfahren Sie hier.
Sie benötigen datenschutzrechtliche Beratung zu Abläufen in Ihrem Unternehmen oder suchen einen externen Datenschutzbeauftragten? Unser Team an Experten hilft Ihnen gerne weiter. Kontaktieren Sie uns!