DSGVO & Zeiterfassung: Was Unternehmen jetzt wissen müssen

Die DSGVO gilt für alle Verarbeitungen personenbezogener Daten – auch für die Erfassung von Arbeitszeiten. Verstöße können mit Bußgeldern von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes geahndet werden.

Welche personenbezogenen Daten bei der Zeiterfassung anfallen

Bei der Arbeitszeiterfassung werden verschiedene Kategorien personenbezogener Daten erhoben:

Grunddaten

• Name und Personalnummer des Mitarbeiters
• Beginn und Ende der Arbeitszeit
• Dauer der Arbeitszeit
• Pausenzeiten
• Überstunden und Zeitguthaben

Erweiterte Daten (je nach System)

• Standortdaten (bei GPS-Tracking)
• Projekt- oder Kundenzuordnung
• Abwesenheitsgründe (Urlaub, Krankheit)
• IP-Adressen bei digitaler Erfassung
• Geräteinformationen (bei App-Nutzung)

All diese Daten sind personenbezogen und müssen nach DSGVO-Grundsätzen verarbeitet werden: rechtmäßig, transparent, zweckgebunden, datenminimiert und sicher.

Die 6 DSGVO-Grundsätze für Zeiterfassung

1. Rechtmäßigkeit (Art. 6 DSGVO)

Die Zeiterfassung benötigt eine Rechtsgrundlage. In den meisten Fällen ist dies:

• ✅ Gesetzliche Verpflichtung – das Arbeitszeitgesetz (AZG) schreibt die Erfassung vor
• ✅ Vertragserfüllung – zur Berechnung des Lohns und Einhaltung des Arbeitsvertrags
• ✅ Berechtigtes Interesse – zur Steuerung und Organisation des Betriebs

Eine Einwilligung der Mitarbeiter ist nicht erforderlich, da die gesetzliche Pflicht bereits eine ausreichende Rechtsgrundlage darstellt.

2. Transparenz (Art. 5, 13, 14 DSGVO)

Mitarbeiter müssen darüber informiert werden:

• Welche Daten erfasst werden
• Zu welchem Zweck die Daten verwendet werden
• Wie lange die Daten gespeichert werden
• Wer Zugriff auf die Daten hat
• Welche Rechte sie haben (Auskunft, Löschung, Berichtigung)

Diese Information erfolgt typischerweise über eine Datenschutzerklärung zur Zeiterfassung oder ein Informationsblatt.

3. Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)

Zeiterfassungsdaten dürfen nur für definierte Zwecke verwendet werden:

• ✅ Lohnabrechnung
• ✅ Einhaltung des Arbeitszeitgesetzes
• ✅ Personaleinsatzplanung
• ✅ Projektnachkalkulation
• ❌ Nicht erlaubt: Leistungskontrolle oder Verhaltensüberwachung ohne gesonderte Rechtsgrundlage

4. Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)

Es dürfen nur die Daten erfasst werden, die für den Zweck tatsächlich erforderlich sind. Beispiel:

• ✅ Beginn und Ende der Arbeitszeit – notwendig
• ✅ Projektzuordnung – notwendig für Projektabrechnung
• ⚠️ GPS-Standort – nur bei berechtigtem Interesse und verhältnismäßig
• ❌ Gesundheitsdaten – nur mit besonderer Rechtsgrundlage

5. Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)

Zeiterfassungsdaten müssen nach Ablauf der gesetzlichen Aufbewahrungsfristen gelöscht werden:

• Mindestens 2 Jahre (laut AZG)
• Bei Überstunden: bis zu 3 Jahre (Verjährungsfristen)
• Steuerrechtlich: teilweise bis zu 7 Jahre

Moderne Systeme sollten automatische Löschfristen unterstützen.

6. Sicherheit (Art. 32 DSGVO)

Zeiterfassungsdaten müssen vor unbefugtem Zugriff, Verlust und Manipulation geschützt werden durch:

• Verschlüsselte Übertragung und Speicherung
• Rollenbasierte Zugriffsrechte
• Regelmäßige Backups
• Protokollierung von Zugriffen und Änderungen
• Sichere Authentifizierung (Passwörter, 2FA)

Das Problem mit Papier, Excel und händischen Notizen

In der Praxis sieht die Zeiterfassung in vielen Betrieben noch so aus:

• 📋 Papier-Stundenzettel werden ausgefüllt und am Monatsende ins Büro gebracht
• 📱 Arbeitszeiten werden per WhatsApp oder SMS gemeldet
• 📊 Excel-Listen werden manuell gepflegt und weitergegeben
• ✍️ Notizen auf Zetteln landen irgendwo im Schreibtisch

Diese Methoden haben ein gemeinsames Problem: Sie bieten keinen rechtssicheren Nachweis und sind datenschutzrechtlich bedenklich.

Warum Papier-Stundenzettel problematisch sind

Händische Aufzeichnungen erfüllen die gesetzlichen Anforderungen nur bedingt, denn sie sind:

• ❌ Leicht manipulierbar – nachträgliche Änderungen sind nicht erkennbar
• ❌ Oft unleserlich – besonders bei handschriftlichen Einträgen
• ❌ Fehleranfällig – Übertragungsfehler, vergessene Einträge, falsche Berechnungen
• ❌ Schwer archivierbar – Zettel gehen verloren, verblassen oder werden beschädigt
• ❌ Nicht zeitnah – oft werden Zeiten erst Tage später aus dem Gedächtnis eingetragen
• ❌ Schwer auffindbar – bei Prüfungen müssen Ordner durchsucht werden
• ❌ Keine Zugriffskontrolle – jeder kann den Zettel sehen oder kopieren

Excel ist besser als Papier – aber noch nicht ausreichend

Excel-Listen sind ein Schritt in die richtige Richtung, haben aber ebenfalls Schwächen:

• ⚠️ Änderungen können ohne Protokoll vorgenommen werden
• ⚠️ Zeitstempel fehlen oft oder sind manipulierbar
• ⚠️ Keine automatische Synchronisation zwischen Mitarbeitern und Verwaltung
• ⚠️ Dateien können verloren gehen oder überschrieben werden
• ⚠️ Keine Kontrolle, wer wann was geändert hat
• ⚠️ Oft zu weitreichende Zugriffsrechte auf Netzlaufwerken

WhatsApp & E-Mail: Unverschlüsselt und unkontrolliert

Die Übermittlung von Arbeitszeiten per WhatsApp oder unverschlüsselter E-Mail ist datenschutzrechtlich bedenklich:

• ❌ WhatsApp: Datenübertragung an Meta (außereuropäische Verarbeitung)
• ❌ Unverschlüsselte E-Mail: Daten können abgefangen werden
• ❌ Keine strukturierte Archivierung
• ❌ Unkontrollierte Weiterleitungen möglich

GPS-Tracking und DSGVO: Was ist erlaubt?

GPS-Tracking bei der Zeiterfassung ist ein besonders sensibler Bereich. Standortdaten sind personenbezogene Daten und unterliegen strengen Regeln.

Wann ist GPS-Tracking zulässig?

GPS-Erfassung ist nur unter folgenden Voraussetzungen datenschutzkonform:

• ✅ Nur während der Arbeitszeit – keine Überwachung in Pausen oder nach Feierabend
• ✅ Berechtigtes Interesse – z.B. Nachweis des Arbeitsortes bei Außendienst
• ✅ Verhältnismäßigkeit – GPS nur, wenn weniger invasive Mittel nicht ausreichen
• ✅ Transparente Information – Mitarbeiter müssen wissen, dass GPS erfasst wird
• ✅ Betriebsvereinbarung – in mitbestimmungspflichtigen Betrieben nach ArbVG erforderlich
• ✅ Zweckbindung – Standortdaten nur für Zeiterfassung, nicht für Verhaltenskontrolle

Datenschutz-Folgenabschätzung (Art. 35 DSGVO)

Wenn GPS-Daten systematisch erfasst werden, ist eine Datenschutz-Folgenabschätzung (DSFA) empfehlenswert. Diese bewertet:

• Welche Risiken für die Mitarbeiter entstehen
• Welche Schutzmaßnahmen getroffen werden
• Ob der Einsatz verhältnismäßig ist

Wie digitale Zeiterfassungssysteme DSGVO-Konformität sicherstellen

Moderne digitale Zeiterfassungslösungen erfüllen alle rechtlichen Anforderungen von Grund auf:

✅ Verschlüsselte Datenübertragung

Alle Daten werden verschlüsselt übertragen (SSL/TLS) – kein Mitlesen durch Dritte möglich.

✅ Europäisches Hosting

Seriöse Anbieter hosten ihre Daten in der EU (oft Deutschland oder Österreich) – keine Übermittlung in Drittländer.

✅ Rollenbasierte Zugriffsrechte

Nur berechtigte Personen sehen die Daten:

• Mitarbeiter sehen nur ihre eigenen Zeiten
• Teamleiter sehen nur ihr Team
• Admins haben vollen Zugriff
• Buchhalter erhalten nur aggregierte Daten

✅ Änderungsprotokolle

Jede Änderung wird dokumentiert: Wer hat wann was geändert? Diese Nachvollziehbarkeit ist sowohl für DSGVO als auch für Arbeitszeitgesetz wichtig.

✅ Automatische Löschfristen

Nach Ablauf der gesetzlichen Aufbewahrungspflicht werden Daten automatisch gelöscht – keine jahrelange unnötige Speicherung.

✅ Auftragsverarbeitungsvertrag (AVV)

Wenn Sie ein externes System nutzen, ist der Anbieter Auftragsverarbeiter. Sie benötigen einen AVV (Art. 28 DSGVO), der regelt:

• Welche Daten verarbeitet werden
• Welche Sicherheitsmaßnahmen gelten
• Dass der Anbieter Daten nicht für eigene Zwecke nutzt
• Dass Daten auf Anfrage gelöscht werden

Seriöse Anbieter stellen einen standardisierten AVV bereit.

✅ Auskunftsrecht und Datenexport

Mitarbeiter haben das Recht auf Auskunft über ihre gespeicherten Daten (Art. 15 DSGVO). Gute Systeme bieten:

• Self-Service-Export der eigenen Daten
• Übersichtliche Darstellung aller gespeicherten Informationen
• Exportformate wie PDF oder CSV

Checkliste: DSGVO-konforme Zeiterfassung

Prüfen Sie, ob Ihre Zeiterfassung diese Punkte erfüllt:

Organisation & Dokumentation

• ☐ Datenschutzerklärung zur Zeiterfassung erstellt
• ☐ Mitarbeiter über Datenverarbeitung informiert
• ☐ Verzeichnis von Verarbeitungstätigkeiten (VVT) aktualisiert
• ☐ Bei GPS-Tracking: Datenschutz-Folgenabschätzung durchgeführt
• ☐ Bei mitbestimmungspflichtigen Betrieben: Betriebsvereinbarung vorhanden
• ☐ Auftragsverarbeitungsvertrag mit Software-Anbieter abgeschlossen

Technische Maßnahmen

• ☐ Verschlüsselte Datenübertragung (HTTPS/SSL)
• ☐ Verschlüsselte Datenspeicherung
• ☐ Rollenbasierte Zugriffsrechte implementiert
• ☐ Sichere Authentifizierung (starke Passwörter, optional 2FA)
• ☐ Regelmäßige Backups mit Verschlüsselung
• ☐ Änderungsprotokolle aktiviert
• ☐ Automatische Löschfristen konfiguriert

Hosting & Anbieter

• ☐ Daten werden in der EU gehostet
• ☐ Anbieter ist ISO 27001 oder vergleichbar zertifiziert
• ☐ Keine Weitergabe an Drittländer ohne angemessenes Schutzniveau
• ☐ Anbieter hat Datenschutzbeauftragten benannt

Mitarbeiterrechte

• ☐ Mitarbeiter können ihre Daten einsehen (Transparenz)
• ☐ Auskunftsanfragen können bearbeitet werden
• ☐ Berichtigungen sind möglich und werden protokolliert
• ☐ Löschung nach Beendigung des Arbeitsverhältnisses geregelt

Typische DSGVO-Fehler bei der Zeiterfassung

Fehler 1: Keine Information der Mitarbeiter

Viele Unternehmen führen neue Zeiterfassungssysteme ein, ohne die Mitarbeiter über Art und Umfang der Datenverarbeitung zu informieren. Das verletzt die Transparenzpflicht.

Lösung: Informationsblatt oder E-Mail mit allen relevanten Details versenden.

Fehler 2: Zu weitreichende Zugriffsrechte

Oft haben zu viele Personen Zugriff auf sensible Zeitdaten – etwa die gesamte Buchhaltung statt nur die verantwortliche Person.

Lösung: Zugriffsrechte nach dem Need-to-know-Prinzip vergeben.

Fehler 3: Fehlender AVV mit Software-Anbieter

Bei Cloud-Lösungen ist der Anbieter Auftragsverarbeiter – ohne AVV liegt ein DSGVO-Verstoß vor.

Lösung: AVV vom Anbieter anfordern und unterzeichnen lassen.

Fehler 4: Zu lange Speicherung

Zeiterfassungsdaten werden oft jahrelang aufbewahrt, obwohl die gesetzliche Frist längst abgelaufen ist.

Lösung: Löschkonzept erstellen und automatische Löschfristen einrichten.

Fehler 5: GPS-Tracking ohne Rechtsgrundlage

Standortdaten werden erfasst, ohne dass ein berechtigtes Interesse nachgewiesen oder die Mitarbeiter informiert wurden.

Lösung: Datenschutz-Folgenabschätzung durchführen, Betriebsvereinbarung abschließen, Mitarbeiter informieren.

Was tun bei DSGVO-Verstößen?

Wenn Sie feststellen, dass Ihre Zeiterfassung nicht DSGVO-konform ist:

1. Bewerten Sie das Risiko

• Welche Daten sind betroffen?
• Wie viele Mitarbeiter sind betroffen?
• Liegt ein hohes Risiko für die Rechte der Betroffenen vor?

2. Beheben Sie die Mängel sofort

• Zugriffsrechte einschränken
• Fehlende Verträge (AVV) nachreichen
• Mitarbeiter informieren
• Technische Sicherheitsmaßnahmen nachbessern

3. Dokumentieren Sie die Maßnahmen

Halten Sie fest, welche Probleme erkannt und welche Schritte unternommen wurden. Diese Dokumentation zeigt Ihre Bemühungen um Compliance.

4. Ziehen Sie Experten hinzu

Bei komplexen Fällen sollten Sie Ihren Datenschutzbeauftragten oder einen Datenschutzexperten konsultieren.

Praxis-Beispiel: Prüfung durch eine Behörde

Stellen Sie sich vor: Eine Behörde kündigt eine Kontrolle an und fordert die Arbeitszeitaufzeichnungen der letzten 12 Monate für alle Mitarbeiter an.

Szenario 1: Papier-Stundenzettel

• Sie suchen die Ordner zusammen (wo war nochmal der Ordner von März?)
• Einige Zettel sind unleserlich oder fehlen
• Die Stunden wurden teilweise nachträglich eingetragen
• Eine vollständige Auswertung dauert Tage
• Die Prüfung deckt Lücken und Ungereimtheiten auf

Ergebnis: Verwaltungsstrafen und Nachbesserungsauflage.

Szenario 2: Digitale Zeiterfassung

• Sie öffnen das System und erstellen einen Report für den gewünschten Zeitraum
• Alle Daten sind vollständig, nachvollziehbar und chronologisch sortiert
• Der Export als PDF ist in unter 2 Minuten fertig
• Änderungen sind transparent dokumentiert
• Die Prüfung verläuft reibungslos

Ergebnis: Keine Beanstandungen, positiver Abschluss.

Fazit: DSGVO-Konformität ist machbar – mit der richtigen Lösung

Die DSGVO ist kein Hindernis für digitale Zeiterfassung – im Gegenteil: Moderne Systeme erfüllen die Anforderungen besser als Papier oder Excel.

Die wichtigsten Erfolgsfaktoren:

• ✅ Wählen Sie einen Anbieter mit EU-Hosting und AVV
• ✅ Implementieren Sie rollenbasierte Zugriffsrechte
• ✅ Informieren Sie Ihre Mitarbeiter transparent
• ✅ Nutzen Sie verschlüsselte Übertragung und Speicherung
• ✅ Richten Sie automatische Löschfristen ein
• ✅ Dokumentieren Sie Ihre Maßnahmen

Wer diese Punkte beachtet, kann Zeiterfassung rechts- und datenschutzkonform umsetzen – und profitiert gleichzeitig von den Vorteilen digitaler Prozesse: weniger Aufwand, mehr Übersicht, bessere Nachvollziehbarkeit.

DSGVO-Konformität ist kein Luxus – sie ist Pflicht. Aber sie ist auch eine Chance, Prozesse von Grund auf richtig aufzusetzen.