Was ist bei der Arbeitszeiterfassung zu beachten?

Die Verarbeitung personenbezogener Zeiterfassungsdaten der Mitarbeiter darf nur im Rahmen konkreter Zweckbestimmungen stattfinden. Die Zweckbestimmungen müssen festgelegt sein, bevor personenbezogene Daten erfasst werden.

Im Regelfall genügt die Speicherung folgender Daten (Grundsatz der Datenminimierung nach Art. 5 Abs. 1 Buchst. d DSGVO):

  • Name, Vorname und/oder fiktive Personalnummer des Beschäftigten
  • Geburtsdatum
  • Kommen
  • Gehen
  • Abwesenheitszeiten während der Arbeitszeit
  • Gleitzeittage
  • Urlaubstage

Zumindest die in elektronischen Zeiterfassungssystemen erfolgenden Aufzeichnungen von Arbeitszeiten sind zur Verhaltens- und Leistungskontrolle der Arbeitnehmer (zumindest) geeignet; die Einführung eines solchen Datenverarbeitungssystems unterliegt somit der zwingenden Mitbestimmung des Betriebs- bzw. Personalrats.

In dieser Betriebsvereinbarung sollte insbesondere geregelt werden,

  • welche Daten aufgezeichnet werden,
  • wie lange die aufgezeichneten Daten gespeichert werden,
  • welche Personen Zugriff auf die gespeicherten Zeiterfassungsdaten haben und
  • wer welche Auswertungen wann veranlassen kann.

Unterlagen und Dateien zur Zeiterfassung sind grundsätzlich den Personaldaten zuzuordnen. Sie sind vertraulich zu behandeln und vor unbefugter Einsicht zu schützen.

Zugang zu den Zeiterfassungsdaten dürfen – neben dem Beschäftigten, der im Regelfall aus Gründen der Transparenz und zur Selbstkontrolle Leserecht auf sein eigenes Zeitkonto erhält – nur Beschäftigte haben, die im Rahmen der Tätigkeit mit der Bearbeitung von Personalangelegenheiten beauftragt sind und nur soweit dies zu Zwecken der Personalverwaltung oder der Personalwirtschaft erforderlich ist; dies gilt auch für den Zugang im automatisierten Abrufverfahren.

Zur Wahrung der Vertraulichkeit und damit zum Schutz des Persönlichkeitsrechtes der Beschäftigten muss der Zugang zu Zeiterfassungsdaten (als Personaldaten) innerhalb der Personalstelle in doppelter Hinsicht beschränkt werden: Zum einen dürfen Personaldaten nur bestimmten Personen überhaupt zugänglich gemacht werden, und zum anderen dürfen diese Personen diese Daten nur ihrem bestimmungsgemäßen Gebrauch entsprechend nutzen.

Die Kenntnisnahme der Zeiterfassungsdaten durch den Vorgesetzten ist im Regelfall zulässig, soweit dies für eine Plausibilitätsprüfung der vom Betroffenen vorgenommenen Zeiterfassung erforderlich ist. Es muss aber dafür Sorge getragen werden, dass diese Daten bei den Vorgesetzten nicht dauerhaft gespeichert werden.

Selbstverständlich müssen auch im Rahmen des Zugangs zu Zeiterfassungsgeräten und des Zugriffs auf Zeiterfassungsdaten technische und organisatorische Maßnahmen im Sinne der Art. 25 und 32 DSGVO ergriffen werden. So müssen beispielsweise Programmfunktionen nicht vorgesehene Auswertungsmöglichkeiten technisch unterbinden. Die Zugriffsrechte sind exakt und auf das notwendige Maß beschränkt festzulegen. Aktualisierungs- bzw. Korrekturverfahren sind ebenfalls detailliert zu regeln, wie z. B. die befugte Korrekturperson oder die Korrekturgrundlage (z. B. vom Vorgesetzten gezeichneter Beleg).

Nicht vergessen werden sollte auch die Aufnahme in das Verzeichnis der Verfahren (Art. 30 DSGVO).