Eine DSGVO-konforme Zeiterfassung in Verbindung mit Zutrittskontrollsystemen erfordert die Einhaltung strenger rechtlicher Vorgaben, insbesondere der DSGVO und des Arbeitszeitgesetzes. Unternehmen müssen sicherstellen, dass personenbezogene Daten zweckgebunden, transparent und mit geeigneten technischen und organisatorischen Maßnahmen verarbeitet werden. Biometrische Verfahren sind nur unter engen Voraussetzungen zulässig und erfordern eine sorgfältige Abwägung der Verhältnismäßigkeit.
Unabhängige Expertise für Ihre Zutrittskontrolle und Arbeitszeiterfassung
Die Pflicht zur Zeiterfassung und die strengen Vorgaben der DSGVO stellen Unternehmen vor komplexe Herausforderungen. Eine rechtskonforme Integration von Zeiterfassung und Zutrittskontrolle erfordert präzise Planung und tiefgreifendes Fachwissen, um Risiken zu minimieren und Effizienz zu maximieren.
Key Takeaways
- Die Zeiterfassung ist seit den EuGH- und BAG-Urteilen verpflichtend und muss DSGVO-konform erfolgen, wobei Arbeitszeiten als personenbezogene Daten gelten.
- Die Integration von Zeiterfassung und Zutrittskontrolle bietet Effizienz, birgt aber datenschutzrechtliche Risiken bezüglich Datenminimierung und Zweckbindung. Biometrische Verfahren sind nur unter strengen Auflagen zulässig.
- Eine unabhängige Planung und Beratung durch Experten wie PLANATEL® ist entscheidend, um herstellerneutral, rechtskonform und zukunftssicher Systeme zu implementieren und den Betriebsrat frühzeitig einzubinden.
Die Digitalisierung der Arbeitswelt bringt zahlreiche Vorteile, aber auch wachsende Anforderungen an die Datenverarbeitung mit sich. Insbesondere die Zeiterfassung und Zutrittskontrolle in Unternehmen sind seit dem EuGH-Urteil von 2019 und dem BAG-Beschluss von 2022 in den Fokus gerückt. Arbeitgeber sind verpflichtet, die Arbeitszeiten ihrer Beschäftigten systematisch zu erfassen, um den Arbeitsschutz zu gewährleisten und die Einhaltung von Höchstarbeitszeiten und Ruhezeiten sicherzustellen. Gleichzeitig müssen diese Prozesse den strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) entsprechen. Die Herausforderung besteht darin, ein System zu implementieren, das sowohl funktional als auch rechtlich einwandfrei ist. PLANATEL® unterstützt Sie als unabhängiger Planungspartner dabei, diese Komplexität zu meistern und maßgeschneiderte, rechtskonforme Lösungen zu entwickeln.
Rechtliche Grundlagen: Arbeitszeitgesetz und DSGVO als Rahmen
Die rechtlichen Rahmenbedingungen für die Zeiterfassung in Deutschland sind durch das Europäische Gerichtshof (EuGH)-Urteil vom 14. Mai 2019 (C-55/18) und den darauf folgenden Beschluss des Bundesarbeitsgerichts (BAG) vom 13. September 2022 (1 ABR 22/21) maßgeblich geprägt. Diese Urteile verpflichten Arbeitgeber in Deutschland, ein objektives, verlässliches und zugängliches System zur Erfassung der gesamten täglichen Arbeitszeit ihrer Beschäftigten einzurichten. Ziel ist der Schutz der Arbeitnehmerrechte, insbesondere die Einhaltung von Höchstarbeitszeiten und Ruhezeiten gemäß Arbeitszeitgesetz (ArbZG).
Parallel dazu unterliegt die Zeiterfassung den strengen Anforderungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Arbeitszeiten sind personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, da sie einer identifizierten oder identifizierbaren natürlichen Person zugeordnet werden können. Dies bedeutet, dass ihre Verarbeitung nur auf einer gültigen Rechtsgrundlage (z.B. Art. 6 Abs. 1 lit. b oder c DSGVO in Verbindung mit § 26 Abs. 1 BDSG) erfolgen darf und die Grundsätze der Datenverarbeitung – wie Rechtmäßigkeit, Transparenz, Zweckbindung und Datenminimierung – strikt einzuhalten sind. Eine Missachtung dieser Vorschriften kann nicht nur zu arbeitsrechtlichen Auseinandersetzungen, sondern auch zu erheblichen Bußgeldern führen. Die Planung eines Zeiterfassungssystems muss daher von Anfang an beide Rechtsbereiche integrieren, um eine umfassende Rechtskonformität zu gewährleisten.
Integration von Zeiterfassung und Zutrittskontrolle: Chancen und Risiken
Die Verknüpfung von Zeiterfassung und Zutrittskontrolle bietet Unternehmen erhebliche Effizienzpotenziale. Ein integriertes System ermöglicht es, den Arbeitsbeginn und das Arbeitsende automatisch beim Betreten oder Verlassen des Gebäudes oder bestimmter Bereiche zu erfassen. Dies reduziert den administrativen Aufwand und erhöht die Genauigkeit der Daten. Zutrittskontrollsysteme steuern, wer, wann und wo Zutritt erhält, und sind somit ein essenzieller Bestandteil der physischen Sicherheit. Die VdS-Richtlinien für Zutrittskontrollanlagen (z.B. VdS 2358:2009-10) legen hierfür Mindestanforderungen fest, die bei der Planung zu berücksichtigen sind.
Allerdings birgt die Kombination beider Funktionen auch spezifische datenschutzrechtliche Risiken. Die Erfassung von Zutrittsdaten kann Bewegungsprofile von Mitarbeitenden erstellen, was eine potenzielle Überwachung darstellt und den Grundsatz der Datenminimierung verletzen kann. Es muss klar definiert sein, welche Daten zu welchem Zweck erfasst und verarbeitet werden. Eine strikte Zweckbindung ist hier unerlässlich: Zutrittsdaten dürfen primär der Sicherheit dienen und Zeiterfassungsdaten der Arbeitszeitdokumentation. Eine Vermischung oder Nutzung für andere, nicht explizit kommunizierte Zwecke ist unzulässig. Die Herausforderung liegt darin, ein System zu konzipieren, das die notwendige Funktionalität bietet, ohne die Persönlichkeitsrechte der Mitarbeitenden unverhältnismäßig einzuschränken. Dies erfordert eine detaillierte Bedarfsanalyse und eine sorgfältige Abwägung der technischen Möglichkeiten im Einklang mit den gesetzlichen Vorgaben.
Datenminimierung und Zweckbindung: Kernprinzipien der DSGVO
Die Prinzipien der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) und Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) sind zentrale Säulen einer rechtskonformen Zeiterfassung und Zutrittskontrolle. Datenminimierung bedeutet, dass nur solche personenbezogenen Daten erhoben und verarbeitet werden dürfen, die für den jeweiligen Zweck unbedingt erforderlich sind. Im Kontext der Zeiterfassung sind dies in der Regel Beginn, Ende und Dauer der Arbeitszeit sowie Pausen. Zusätzliche Informationen, die nicht direkt der Arbeitszeitdokumentation dienen, wie etwa der genaue Standort außerhalb des Betriebsgeländes (z.B. via GPS bei mobiler Zeiterfassung), bedürfen einer gesonderten, freiwilligen Einwilligung und einer klaren Rechtfertigung der Verhältnismäßigkeit.
Die Zweckbindung schreibt vor, dass Daten nur für die Zwecke verarbeitet werden dürfen, für die sie ursprünglich erhoben wurden. Werden Zutrittsdaten zur Steuerung der physischen Sicherheit erfasst, dürfen sie nicht ohne Weiteres zur Leistungs- oder Verhaltenskontrolle der Mitarbeitenden herangezogen werden. Eine solche Nutzung wäre eine Zweckentfremdung und ein Verstoß gegen die DSGVO. Unternehmen müssen daher ein klares Konzept entwickeln, das die verschiedenen Zwecke der Datenerfassung trennt und sicherstellt, dass Daten nicht für inkompatible Zwecke verwendet werden. Dies erfordert eine transparente Information der Mitarbeitenden über Art, Umfang und Zweck der Datenverarbeitung (Art. 13/14 DSGVO) und gegebenenfalls die Einholung von Einwilligungen, insbesondere wenn Daten für Zwecke verarbeitet werden sollen, die über die Erfüllung des Arbeitsvertrags oder gesetzliche Pflichten hinausgehen.
Technische und organisatorische Maßnahmen (TOM) zur Datensicherheit
Die Gewährleistung der Datensicherheit ist ein fundamentaler Aspekt der DSGVO-konformen Zeiterfassung und Zutrittskontrolle, verankert in Art. 32 DSGVO. Unternehmen müssen geeignete technische und organisatorische Maßnahmen (TOM) implementieren, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste zu gewährleisten. Dazu gehören unter anderem:
- Zugangskontrolle: Maßnahmen, die verhindern, dass Unbefugte Zugang zu Datenverarbeitungsanlagen erhalten (z.B. physische Sicherheit der Serverräume, Zutrittskontrollsysteme für sensible Bereiche).
- Zugriffskontrolle: Sicherstellung, dass nur autorisiertes Personal auf personenbezogene Daten zugreifen kann (z.B. Rollen- und Rechtekonzepte, starke Authentifizierung).
- Weitergabekontrolle: Schutz vor unbefugter Weitergabe von Daten während der Übertragung oder Speicherung (z.B. Verschlüsselung, sichere Übertragungsprotokolle).
- Eingabekontrolle: Protokollierung von Dateneingaben, -änderungen und -löschungen, um die Nachvollziehbarkeit zu gewährleisten (Audit-Trails).
- Verfügbarkeitskontrolle: Schutz vor Datenverlust oder -zerstörung (z.B. regelmäßige Backups, redundante Systeme, Notfallpläne).
Eine Zertifizierung nach ISO 27001, dem internationalen Standard für Informationssicherheitsmanagementsysteme (ISMS), kann ein starkes Indiz für die Einhaltung hoher Sicherheitsstandards sein und bietet eine solide Grundlage für den Datenschutz. Die VdS 10010 Richtlinien bieten zudem speziell für kleine und mittelständische Unternehmen einen praktikablen Rahmen zur Umsetzung der DSGVO-Anforderungen. PLANATEL® unterstützt bei der Konzeption dieser TOMs, um eine robuste und rechtskonforme Sicherheitsarchitektur zu etablieren.
Biometrische Zeiterfassung und Zutrittskontrolle: Grenzen und Alternativen
Der Einsatz biometrischer Daten wie Fingerabdrücke, Gesichtserkennung oder Iris-Scans für Zeiterfassung und Zutrittskontrolle ist datenschutzrechtlich besonders sensibel. Biometrische Daten gelten gemäß Art. 9 Abs. 1 DSGVO als besondere Kategorien personenbezogener Daten und genießen daher einen erhöhten Schutz. Ihre Verarbeitung ist grundsätzlich untersagt, es sei denn, es liegt eine der Ausnahmen des Art. 9 Abs. 2 DSGVO vor. Im Kontext des Arbeitsverhältnisses ist dies meist die ausdrückliche, freiwillige Einwilligung der betroffenen Person oder die Notwendigkeit zur Erfüllung arbeitsrechtlicher Pflichten, sofern dies verhältnismäßig ist.
Die Aufsichtsbehörden und Arbeitsgerichte tendieren dazu, biometrische Zeiterfassung in den meisten Fällen als unverhältnismäßig anzusehen, da es in der Regel gleich geeignete, aber mildere Mittel gibt. Argumente wie die Verhinderung von „Buddy Punching“ (ein Kollege stempelt für einen anderen) reichen oft nicht aus, um den Einsatz biometrischer Verfahren zu rechtfertigen. Arbeitgeber dürfen Mitarbeitende nicht zur Nutzung biometrischer Systeme zwingen und müssen stets datenschutzfreundliche Alternativen anbieten. Zu diesen Alternativen zählen RFID-Chips, Transponder, PIN-Eingabe, Smartphone-Apps oder webbasierte Stempeluhren. PLANATEL® berät Sie herstellerneutral bei der Auswahl von Systemen, die sowohl den Sicherheitsanforderungen als auch den strengen Datenschutzvorgaben gerecht werden, ohne unnötige Risiken durch den Einsatz sensibler biometrischer Daten einzugehen.
Die Rolle des Betriebsrats und transparente Kommunikation
Bei der Einführung und Gestaltung von Zeiterfassungs- und Zutrittskontrollsystemen spielt der Betriebsrat eine entscheidende Rolle. Gemäß § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) hat der Betriebsrat ein umfassendes Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Da Zeiterfassungssysteme potenziell eine solche Überwachung ermöglichen, ist eine Betriebsvereinbarung mit dem Betriebsrat zwingend erforderlich. Diese Vereinbarung sollte detailliert regeln:
- Den Zweck der Datenerfassung (z.B. Lohnabrechnung, Einhaltung des Arbeitszeitgesetzes).
- Welche Daten genau erfasst werden.
- Wer Zugriff auf die Daten hat und zu welchen Zwecken.
- Speicherfristen und Löschkonzepte.
- Maßnahmen zur Datensicherheit.
- Die Rechte der Mitarbeitenden auf Auskunft und Korrektur.
Eine offene und transparente Kommunikation mit den Mitarbeitenden ist ebenfalls unerlässlich. Sie müssen umfassend über die Funktionsweise des Systems, die Art der erhobenen Daten, den Verarbeitungszweck und ihre Rechte informiert werden. Dies schafft Vertrauen und Akzeptanz für die neuen Prozesse. Eine frühzeitige Einbindung des Betriebsrats und eine klare Informationspolitik tragen maßgeblich zur erfolgreichen und rechtskonformen Implementierung bei und vermeiden spätere Konflikte oder rechtliche Auseinandersetzungen. PLANATEL® unterstützt Sie bei der Erstellung von Konzepten und der Moderation dieser Prozesse, um eine reibungslose Einführung zu gewährleisten.
Auswahl und Implementierung rechtskonformer Systeme: Der PLANATEL® Ansatz
Die Auswahl und Implementierung eines Zeiterfassungs- und Zutrittskontrollsystems, das sowohl den betrieblichen Anforderungen als auch den komplexen rechtlichen Vorgaben entspricht, ist eine anspruchsvolle Aufgabe. Viele Unternehmen stehen vor der Herausforderung, aus einer Vielzahl von Anbietern und Technologien die passende Lösung zu finden. Hierbei ist eine herstellerneutrale und unabhängige Beratung von entscheidender Bedeutung, um Herstellerabhängigkeiten zu vermeiden und die objektiv beste Lösung zu identifizieren. PLANATEL® bietet seit 1992 genau diese Expertise.
Unser Ansatz beginnt mit einer detaillierten Ist-Aufnahme und Bedarfsanalyse, bei der wir Ihre spezifischen Anforderungen an Zeiterfassung und Zutritt, Ihre Unternehmensstruktur und die bestehenden Prozesse genau analysieren. Darauf aufbauend entwickeln wir eine Soll-Konzeption, die alle relevanten Aspekte – von der Funktionalität über die Datensicherheit bis hin zur Rechtskonformität nach DSGVO und Arbeitszeitgesetz – berücksichtigt. Wir erstellen eine detaillierte Planung, die technische Spezifikationen und organisatorische Maßnahmen umfasst. Anschließend begleiten wir Sie durch den Ausschreibungs- und Vergabeprozess, bewerten Angebote objektiv und wählen gemeinsam mit Ihnen zertifizierte Errichter aus. Unsere finanzielle Unabhängigkeit garantiert, dass unsere Empfehlungen ausschließlich in Ihrem besten Interesse liegen. Wir planen Wartungskonzepte und unterstützen Sie bei der Implementierung, Abnahme und Rechnungsprüfung, um sicherzustellen, dass das System Ihren Erwartungen und allen gesetzlichen Anforderungen entspricht.
Zukünftige Entwicklungen und Best Practices für nachhaltige Rechtskonformität
Die Landschaft der Arbeitszeitregelungen und des Datenschutzes ist dynamisch. Der Gesetzgeber arbeitet weiterhin an einer konkreten Ausgestaltung der elektronischen Zeiterfassungspflicht, wobei für 2026 ein neues Arbeitszeitgesetz erwartet wird, das die elektronische Erfassung zum Standard erheben soll. Unternehmen müssen daher flexibel bleiben und ihre Systeme kontinuierlich an neue rechtliche Anforderungen anpassen. Dies erfordert nicht nur technische Anpassungen, sondern auch eine regelmäßige Überprüfung der internen Prozesse und Dokumentationen.
Best Practices für eine nachhaltige Rechtskonformität umfassen:
- Regelmäßige Audits: Überprüfen Sie in festen Intervallen die Einhaltung der DSGVO und des Arbeitszeitgesetzes durch Ihr Zeiterfassungs- und Zutrittssystem.
- Schulung der Mitarbeitenden: Sensibilisieren Sie alle Beteiligten für Datenschutzthemen und die korrekte Nutzung der Systeme.
- Aktualisierung von Dokumentationen: Halten Sie Ihr Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) und Ihre Datenschutzerklärungen stets aktuell.
- Proaktives Risikomanagement: Führen Sie Datenschutz-Folgenabschätzungen (DSFA) gemäß Art. 35 DSGVO durch, insbesondere bei der Einführung neuer Technologien oder bei wesentlichen Änderungen an bestehenden Systemen.
- Expertenrat einholen: Ziehen Sie bei komplexen Fragestellungen unabhängige Fachberater wie PLANATEL® hinzu, um rechtliche Fallstricke zu vermeiden und zukunftssichere Lösungen zu implementieren.
Durch eine vorausschauende Planung und kontinuierliche Anpassung können Unternehmen die Pflicht zur Zeiterfassung als Chance nutzen, um Prozesse zu optimieren, Transparenz zu schaffen und das Vertrauen der Mitarbeitenden zu stärken. PLANATEL® steht Ihnen mit über 34 Jahren Erfahrung als verlässlicher Partner zur Seite, um diese Herausforderungen erfolgreich zu meistern.
Nächster Schritt
Kontaktieren Sie uns für ein unverbindliches Erstgespräch.
PLANATEL® — Unabhängige Planung und Beratung seit 1992
Tel: 040 / 23 73 02-30
E-Mail: info@planatel.de
Häufig gestellte Fragen
Warum ist die Zeiterfassung überhaupt DSGVO-relevant?
Daher unterliegen ihre Erfassung und Verarbeitung den strengen Vorgaben der DSGVO und des BDSG. Dies umfasst die Notwendigkeit einer Rechtsgrundlage, die Einhaltung von Datenminimierung, Zweckbindung, Transparenz und die Implementierung geeigneter technischer und organisatorischer Maßnahmen (TOM) zum Schutz dieser Daten. Eine Missachtung kann zu erheblichen Bußgeldern und rechtlichen Konsequenzen führen.
Welche Daten dürfen bei der Zeiterfassung erfasst werden?
Grundsätzlich dürfen nur die für den Zweck der Arbeitszeitdokumentation notwendigen Daten erfasst werden. Dazu gehören in der Regel der Beginn und das Ende der täglichen Arbeitszeit, die Dauer von Pausen sowie Überstunden. Zusätzliche Daten, die nicht direkt der Arbeitszeitdokumentation dienen, wie etwa GPS-Standortdaten bei mobiler Zeiterfassung, erfordern eine gesonderte, freiwillige Einwilligung der Mitarbeitenden und müssen verhältnismäßig sein. Das Prinzip der Datenminimierung ist hierbei leitend.
Wie lange dürfen Zeiterfassungsdaten gespeichert werden?
Die Speicherdauer von Zeiterfassungsdaten muss dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) entsprechen. Daten dürfen nur so lange gespeichert werden, wie es für den ursprünglichen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorschreiben. Nach Wegfall des Zwecks oder Ablauf der Fristen müssen die Daten unverzüglich gelöscht werden. Eine klare Löschkonzeption ist Teil einer rechtskonformen Datenverarbeitung und sollte in einer Betriebsvereinbarung festgehalten werden.
Was sind die Konsequenzen bei nicht-DSGVO-konformer Zeiterfassung?
Verstöße gegen die DSGVO bei der Zeiterfassung können weitreichende Konsequenzen haben. Dazu gehören hohe Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, arbeitsrechtliche Auseinandersetzungen mit Mitarbeitenden, Reputationsschäden und die Anordnung von Korrekturmaßnahmen durch Datenschutzaufsichtsbehörden. Zudem können fehlerhafte Lohnabrechnungen und ein Vertrauensverlust im Unternehmen die Folge sein. Eine unabhängige Prüfung und Beratung hilft, solche Risiken proaktiv zu minimieren.
Kann die Zeiterfassung an die Mitarbeitenden delegiert werden?
Ja, Arbeitgeber können die Aufgabe der Zeiterfassung an ihre Mitarbeitenden delegieren, sodass diese ihre Arbeitszeiten eigenverantwortlich im System dokumentieren. Die Gesamtverantwortung für die korrekte und rechtskonforme Zeiterfassung verbleibt jedoch beim Arbeitgeber. Dieser muss sicherstellen, dass das System objektiv, verlässlich und zugänglich ist und die Mitarbeitenden entsprechend geschult und informiert sind. Eine regelmäßige Kontrolle der Einhaltung ist unerlässlich.
Ist die Zeiterfassung in Deutschland wirklich Pflicht?
Ja, seit dem EuGH-Urteil von 2019 und dem BAG-Beschluss von 2022 sind Arbeitgeber in Deutschland verpflichtet, die Arbeitszeiten ihrer Beschäftigten systematisch zu erfassen. Dies dient dem Schutz der Arbeitnehmerrechte und der Einhaltung des Arbeitszeitgesetzes.
Dürfen biometrische Daten für die Zeiterfassung genutzt werden?
Der Einsatz biometrischer Daten ist datenschutzrechtlich sehr kritisch. Er ist nur unter strengen Voraussetzungen zulässig, erfordert eine freiwillige Einwilligung der Mitarbeitenden und muss verhältnismäßig sein. In der Regel werden datenschutzfreundlichere Alternativen bevorzugt.
Welche Rolle spielt der Betriebsrat bei der Einführung von Zeiterfassungssystemen?
Der Betriebsrat hat ein umfassendes Mitbestimmungsrecht bei der Einführung technischer Überwachungseinrichtungen, zu denen Zeiterfassungssysteme gehören. Eine Betriebsvereinbarung ist zwingend erforderlich, um die Rahmenbedingungen der Datenerfassung festzulegen.
Was bedeutet ‚Zweckbindung‘ im Kontext der Zeiterfassung?
Zweckbindung bedeutet, dass die erhobenen Daten nur für den spezifischen Zweck verarbeitet werden dürfen, für den sie ursprünglich erfasst wurden. Zeiterfassungsdaten dürfen also nicht ohne Weiteres für andere Zwecke, wie z.B. eine Leistungs- oder Verhaltenskontrolle, genutzt werden.