KONTAKT

Arbeitszeiterfassung: Rechtliche Anforderungen und Empfehlungen

Die Verpflichtung zur Arbeitszeiterfassung von Arbeitnehmenden und die Umsetzung eines datenschutzkonformen Zeiterfassungssystems sind für Arbeitgebende zentrale Compliance-Themen. Der Beschluss des Bundesarbeitsgerichts (BAG) vom 13. September 2022 verdeutlicht die rechtliche Bedeutung einer lückenlosen Arbeitszeiterfassung im Unternehmen, basierend auf den Vorgaben des Arbeitszeitgesetzes (ArbZG). Gleichzeitig fordert die Datenschutz-Grundverordnung (DSGVO) einen sensiblen Umgang mit den personenbezogenen Daten, die durch die Zeiterfassung anfallen. Dieser Beitrag beleuchtet die rechtlichen Anforderungen, stellt Best-Practice-Empfehlungen dar und adressiert spezifische Fragestellungen zur datenschutzkonformen Ausgestaltung der Arbeitszeiterfassung. 

Umfang der Pflicht zur Arbeitszeiterfassung: Für wen gilt die Aufzeichnungspflicht?

Der Beschluss des Bundesarbeitsgerichts verpflichtet Arbeitgebende zur Erfassung der Arbeitszeiten aller Arbeitnehmenden, die den Vorschriften des ArbZG unterliegen. Dies schließt nicht nur klassische Arbeitnehmende ein, sondern auch mobile Beschäftigte sowie solche, die im Homeoffice oder im Rahmen von Vertrauensarbeitszeit tätig sind. Leitende Angestellte sind von dieser Pflicht ausgenommen, da sie gemäß § 18 ArbZG nicht den Regelungen des Arbeitszeitgesetzes unterliegen. Diese Unterscheidung ist für Unternehmen essenziell, um die Aufzeichnungspflicht gezielt und rechtskonform umzusetzen. 

Mitbestimmungsrechte des Betriebsrats bei der Ausgestaltung des Zeiterfassungssystems

Der Betriebsrat hat gemäß § 87 Abs. 1 Nr. 7 BetrVG ein Mitbestimmungsrecht in Bezug auf die Ausgestaltung der Zeiterfassung. Der Arbeitgebende ist zwar gesetzlich zur Einführung einer Zeiterfassung verpflichtet, jedoch steht dem Betriebsrat das Recht zu, bei der Wahl der Mittel und Verfahren der Erfassung mitzubestimmen. Dies umfasst die Entscheidung über das eingesetzte Zeiterfassungssystem, die Kontrolldichte und die Art und Weise der Dokumentation. Die Mitbestimmung erstreckt sich dabei ausschließlich auf das „Wie“ und nicht auf das „Ob“ der Zeiterfassung. 

Datenschutzrechtliche Anforderungen an die Arbeitszeiterfassung

Da Arbeitszeiten als personenbezogene Daten gelten, unterliegen sie den strengen Anforderungen der DSGVO. Unternehmen sind verpflichtet, ein datenschutzkonformes System zur Verarbeitung dieser Daten einzurichten, das folgende Prinzipien umsetzt: 

  • Rechtsgrundlage für die Erfassung: Die Erfassung von Arbeitszeitdaten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Erforderlichkeit zur Durchführung des Beschäftigungsverhältnisses) und Art. 6 Abs. 1 lit. c DSGVO in Verbindung mit § 16 Abs. 2 ArbZG (gesetzliche Pflicht zur Überstundenaufzeichnung). Art. 6 Abs. 1 lit. f DSGVO kann berechtigte Interessen des Arbeitgebers, wie Vergütung oder Nachweispflichten, rechtfertigen. Nach dem EuGH-Urteil vom 30.03.2023 stellt
    § 26 Abs. 1 S. 1 BDSG keine eigenständige Rechtsgrundlage dar, sondern ist lediglich ergänzend im Kontext der DSGVO anwendbar.
  • Datenminimierung und Zweckbindung: Die Erfassung sollte sich ausschließlich auf die unbedingt erforderlichen Daten zur Einhaltung der Arbeitszeitregelungen beschränken. Eine Nutzung der Arbeitszeitdaten zu anderen Zwecken, wie etwa zur Leistungsüberwachung, ist nur unter klarer rechtlicher Grundlage erlaubt.
  • Sicherheitsmaßnahmen: Unternehmen müssen geeignete technische und organisatorische Maßnahmen (TOMs) einführen, um die Sicherheit der erfassten Daten zu gewährleisten. Diese umfassten unter anderem Verschlüsselung, Zugriffsbeschränkungen und die regelmäßige Überprüfung der getroffenen Sicherheitsvorkehrungen.
  • Flexible Erfassungsmethoden: Die Zeiterfassung kann digital oder analog erfolgen und gegebenenfalls an die Mitarbeitenden delegiert werden, beispielsweise durch Eigenaufzeichnung. Der Arbeitgebende bleibt jedoch für die korrekte und vollständige Erfassung verantwortlich und sollte regelmäßige Plausibilitätsprüfungen vornehmen.
  • Rechte der Mitarbeiter und Transparenz: Arbeitnehmender haben das Recht, Einsicht in ihre erfassten Daten zu nehmen, sowie die Korrektur oder Löschung zu verlangen, wenn diese Daten nicht mehr benötigt werden. Unternehmen sind verpflichtet, Mitarbeitenden transparent über Umfang, Zweck und Dauer der Speicherung zu informieren.

Einsatz biometrischer Daten zur Arbeitszeiterfassung

Der Einsatz biometrischer Daten (z. B. Fingerabdruck- oder Iris-Scans) für die Arbeitszeiterfassung erfordert besondere Vorsicht, da biometrische Daten als besonders schutzwürdige Informationen gelten und unter den erweiterten Schutz der DSGVO fallen. Die Verarbeitung biometrischer Daten ist nur unter sehr strengen Voraussetzungen zulässig und erfordert eine hohe Rechtfertigungsgrundlage. Unternehmen sollten alternative Verfahren bevorzugen, wenn sie die gleichen Zwecke erfüllen können. 

Aufbewahrungsfristen und Löschung

Arbeitszeitdaten müssen gemäß den gesetzlichen Anforderungen, z. B. § 16 ArbZG, mindestens zwei Jahre aufbewahrt werden, um arbeitsrechtliche Nachweispflichten zu erfüllen. Nach Ablauf dieser Frist sollten die Daten unverzüglich und sicher gelöscht oder anonymisiert werden. Unternehmen müssen ferner sicherstellen, dass im Rahmen der Mindestlohn-Dokumentationspflicht (z. B. gemäß § 17 MiLoG) auch längere Aufbewahrungsfristen eingehalten werden.

Es sollten klare Prozesse für die Löschung und Anonymisierung der Daten sollten implementiert werden, um sicherzustellen, dass keine Daten länger als erforderlich gespeichert werden. Die Einhaltung der Löschfristen sollte durch regelmäßige Audits überprüft werden.

Branchen- und gesetzesspezifische Aufzeichnungspflichten

In bestimmten Branchen, wie der Offshore-Industrie, dem Baugewerbe oder der Fleischindustrie, gelten über das ArbZG hinausgehende Dokumentationspflichten, beispielsweise zur Einhaltung von Arbeitsschutzmaßnahmen. Diese spezifischen Pflichten bestehen neben der allgemeinen Aufzeichnungspflicht und müssen bei der Gestaltung eines Zeiterfassungssystems berücksichtigt werden. 

Empfehlungen für die Praxis

  • Datenschutz-Folgenabschätzung (DSFA): Vor Einführung eines Zeiterfassungssystems sollte geprüft werden, ob eine DSFA erforderlich ist. Dies ist insbesondere bei Einsatz neuer Technologien oder biometrischer Verfahren der Fall. 
  • Betriebsvereinbarung: Abschluss einer Betriebsvereinbarung mit dem Betriebsrat, die die datenschutzkonforme Nutzung des Zeiterfassungssystems regelt. 
  • Schulung: Regelmäßige Schulung der Mitarbeitenden zum datenschutzkonformen Umgang mit personenbezogenen Daten. 
  • Dokumentation: Führung eines Verzeichnisses von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO, in dem die Verarbeitung der Arbeitszeitdaten dokumentiert ist. 
  • Flexible Erfassungsmethoden: Die Zeiterfassung kann digital oder händisch erfolgen und an Mitarbeitende delegiert werden, sofern der Arbeitgebende regelmäßige Plausibilitätsprüfungen vornimmt. 
  • Datenschutzkonzept: Unternehmen sollten ein umfassendes Datenschutzkonzept für die Arbeitszeiterfassung entwickeln und in regelmäßigen Abständen die Einhaltung und Wirksamkeit der Maßnahmen überprüfen. 

Weitere Beiträge

Arbeitszeiterfassung: Rechtliche Anforderungen und Empfehlungen

Die Verpflichtung zur Arbeitszeiterfassung von Arbeitnehmenden und die Umsetzung eines datenschutzkonformen Zeiterfassungssystems sind für

Betroffenenanfragen auf Knopfdruck beantworten

Ein wichtiger Bestandteil des Datenschutzes ist der korrekte Umgang mit Anfragen betroffener Personen. Diese

Was du bei Auswahl und Bestellung deines Datenschutzbeauftragten beachten solltest

Der oder die Datenschutzbeauftragte spielen eine entscheidende Rolle in deiner Datenschutz-Organisation und arbeiten meist

Umsetzung von Löschpflichten mit Muster Löschkonzept

Personenbezogene Daten dürfen nur verarbeitet werden, wenn dafür eine gesetzliche Rechtfertigung besteht und nur

Dienstleister datenschutzkonform einbinden: so geht’s

IT-Dienste werden heute nur noch selten in eigener Regie und mit eigener IT-Infrastruktur im

Data Breaches richtig managen

Die Gefahr von Cyberrisiken nimmt ständig zu. Neben der Gefahr für die IT-Sicherheit haben

Auskunftsbegehren in der Unternehmenspraxis

Betroffene haben eine Reihe von Rechten, die sie gegenüber Verantwortlichen geltend machen können. Wenn

Verfahrensverzeichnis mit Muster

Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Abs. 1 Das Verzeichnis von Verarbeitungstätigkeiten ist die datenschutzrechtliche

Kurz erklärt: Technisch organisatorische Maßnahmen – TOM

Die DSGVO schreibt vor, dass bei der Verarbeitung von personenbezogenen Daten bestimmte Maßnahmen zu

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Für die Anwaltschaft
Online-Schulungen
Preise

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024