Zeiterfassung und DSGVO: Was gilt es für Unternehmen zu beachten?

Was ist bei einer Zeiterfassung nach Inkrafttreten der neuen Regelungen der DSGVO zu beachten? Mit welcher Art der Arbeitszeiterfassung entsprechen Sie möglichst einfach und sicher der neuen Datenschutzgrundverordnung der EU? Erfahren Sie auch wie TimeTac Ihnen Datenschutz und -sicherheit – ganz im Sinne der DSGVO – gewährleistet.

Mit 25. Mai 2018 ist die neue Datenschutzgrundverordnung, kurz DSGVO, in der gesamten Europäischen Union in Kraft getreten. Das neue Datenschutzrecht soll datenschutzfreundlicher für die Nutzer werden und diesen die Macht über personenbezogene Daten zurückgeben. Was hat diese Verordnung mit einer Arbeitszeiterfassung im Unternehmen zu tun?

Hier finden Sie einen schnellen Überblick über die neue Datenschutzgrundverordnung

Bei einer Zeiterfassung werden natürlich auch personenbezogene Daten erfasst und verarbeitet. Somit tritt auch hier die neue DSGVO in Kraft.

Mit welcher Zeiterfassung entsprechen Sie der neuen DSGVO möglichst einfach und sicher?

Da es verschiedene Möglichkeiten der Zeiterfassung gibt, sollten Unternehmen bei ihrer bestehenden Zeiterfassung oder bei Anschaffung bzw. Umstieg auf eine neue Zeiterfassung genau prüfen, inwieweit sie dabei die neue Verordnung berücksichtigen müssen oder dafür die Verantwortung größtenteils abgeben können.

Software zur Zeiterfassung kaufen – hier tragen Sie die Verantwortung selbst

Wenn Sie eine Software zur Zeiterfassung kaufen und selbst betreiben, sind Sie grundsätzlich auch selbst für die Datenschutzgrundverordnung verantwortlich und nicht der Hersteller der Zeiterfassung. Konkret bedeutet das, dass Sie die ganze Prozessanalyse selbst im Unternehmen übernehmen müssen: Sie müssen die IT-Infrastruktur auf Sicherheitslücken prüfen, neue Updates regelmäßig einspielen, die Verschlüsselung der Datenübertragung garantieren, Zugriffsrechte für die Datentrennung einführen, unverzüglich Fehler beheben und vieles mehr.

Gerade kleine und mittelständische Unternehmen, die keine Experten wie IT-Verantwortliche, Anwalt bzw. Datenschutz-Spezialisten im Unternehmen haben, stehen hier vor einer großen Herausforderung. Gerade hier raten wir Ihnen, aufgrund der hohen Kosten und möglichen Bußgelder, vom Kauf und eigenen Betrieb einer Software dringend ab.

Software und Service inklusive Datensicherheit zur Zeiterfassung mieten – Verantwortung einfach abgeben

Wir empfehlen daher Unternehmen eine Software zur Zeiterfassung zu mieten. Bei der sogenannten SaaS-Lösung (Software as a Service-Lösung) wie Sie Ihnen TimeTac anbietet, sorgt der Dienstleister der Software dafür, dass diese den Datenschutzrichtlinien entspricht.

Konkret bedeutet das, dass der Dienstleister der Zeiterfassung die Verantwortung dafür übernimmt und im Sinne der Grundverordnung dafür sorgt, dass die bei ihm gespeicherten und verarbeiteten Daten vor unberechtigtem Zugriff geschützt sind. Der Unternehmer muss natürlich wie auch beim Kauf der Software Sorge tragen, dass das System so eingestellt wird, dass mit den personenbezogenen Daten des Zeiterfassungssystems sorgsam umgegangen wird und diese vor unberechtigtem Zugriff geschützt sind.

Unser Tipp: Holen Sie sich von allen betroffenen Dienstnehmern die schriftliche Zustimmung bzw. “Einwilligung” im Sinne der DSGVO zur Verarbeitung personenbezogener Daten im Zeiterfassungssystem. Auch die “Benutzer” des Systems, also jene Personen, die die Zeiterfassung einsehen, bearbeiten und auswerten können, sollten Ihnen den sorgsamen Umgang im Sinne der DSGVO bestätigen.

Die Software von TimeTac erfüllt die Anforderungen der neuen Datenschutzgrundverordnung. Sie haben keinen Aufwand und sind abgesichert.

Die Zeiterfassung von TimeTac ist DSGVO konform

Für TimeTac hat der Schutz Ihrer personenbezogenen Daten und Privatsphäre seit Anbeginn absolute Priorität. Wir halten uns dabei strikt an die Regeln der geltenden Datenschutzgesetze.

Datenschutz bei TimeTac:

  • Datenverwendung
    Personenbezogene Daten werden von TimeTac nur im erforderlichen Umfang erhoben, verarbeitet und genutzt. Diese werden in keinem Fall verkauft oder in sonstiger Weise gewerblich veräußert.
  • Zuverlässigkeit
    Der Betrieb von TimeTac findet in Rechenzentren auf verschiedenen Standorten statt. Zusätzlich werden täglich Backups erstellt und ebenfalls getrennt gespeichert. Im Fehlerfall stehen Live-Replikationen zur sofortigen Übernahme des Betriebs zur Verfügung, so dass der Datenverlust minimiert wird. Die Rechenzentren befinden sich in Deutschland, sind entsprechend zertifiziert und verfügen über umfangreiche Zugangs- und Zugriffskontrollen.

    Alle Server zum Betrieb von TimeTac verfügen über eine redundante Internetverbindung mittels vielfach redundanter Upstreams, RAID-Festplatten, unterbrechungsfreie Stromversorgung, vollklimatisierte Server-Sicherheitsräume und ein modernes Brandfrüherkennungssystem mit direkter Verbindung zur örtlichen Feuerwehr.

  • Sicherheitsmaßnahmen
    Ihr TimeTac-Account ist passwortgeschützt, sodass nur der jeweilige Nutzer Zugriff auf seine persönlichen Informationen hat. Wenn Sie TimeTac nutzen, tun Sie dies standardmäßig immer über eine verschlüsselte SSL-Verbindung.
  • Unsere neue Datenschutzerklärung
    Ganz im Sinne der DSGVO haben wir unsere Datenschutzerklärung aktualisiert, Sie finden diese auf unserer neuen Seite “Privacy Policies”. Hier finden Sie alle Details zur Datenspeicherung, Datenverwendung und zu Cookies oder auch wie Sie auf Ihre persönlichen Daten zugreifen bzw. diese ändern können.

Ihr Vertrauen ist uns wichtig! Wir stehen Ihnen bei allen Fragen, wie wir die Datenschutzgrundverordnung einhalten, gerne persönlich oder schriftlich unter support@timetac.com zur Verfügung.

Die Datenschutzgrundverordnung im Überblick

Was ist die DSGVO und was regelt sie?

Seit 25. Mai 2018 ist die neue Datenschutzgrundverordnung (EU-DSGVO) in Kraft getreten. Sie regelt den Datenschutz, sprich den Umgang mit personenbezogenen Daten für Unternehmen. Die neue Datenschutzgrundverordnung soll das Datenschutzrecht innerhalb der EU vereinheitlichen. Bis dato war es den einzelnen Mitgliedstaaten selbst überlassen und daher galten zum Teil sehr unterschiedliche Standards.

Für wen gilt sie?

Die neue Verordnung für alle Unternehmen, die ihren Sitz in der EU haben. Aber auch Unternehmen, die ihren Sitz außerhalb der EU haben müssen sich an die Regelungen halten, wenn sie eine Niederlassung in der EU haben und/oder personenbezogene Daten von EU-Bürgern verarbeiten.

Was genau sind personenbezogene Daten?

Dabei handelt es sich um Informationen, die sich auf eine identifizierbare oder identifizierte Person beziehen. Eine Person ist dann “identifizierbar”, wenn durch die Zuordnung zu einer Kennung die Möglichkeit besteht, diese Person zu identifizieren.

Personenbezogene Daten sind somit: Name, Geburtsdatum, Adresse, E-Mail-Adresse, Telefonnummer, Standort, IP-Adressen, Cookies, Konto, KFZ-Kennzeichen.

Wie wird der Datenschutz personenbezogener Daten konkret sichergestellt?

  • Verbot mit Erlaubnisvorbehalt
    Erhebung, Verarbeitung und Nutzen von personenbezogenen Daten ist grundsätzlich verboten. Ausnahmen sind nur mit Erlaubnis möglich wie beispielsweise Einwilligung der Person oder per Gesetz.
  • Datensparsamkeit
    Es dürfen nur so viele Daten verarbeitet, wie tatsächlich benötigt werden.
  • Datenrichtigkeit
    Die Daten müssen inhaltlich und sachlich korrekt sein.
  • Zweckbindung
    Die Daten dürfen nur zu dem Zweck, für den sie erhoben wurden, verarbeitet werden.
  • Datensicherheit
    Der zu gewährleistende Schutz orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten und orientiert sich am Stand der Technik, den Umständen, den Kosten zur Implementierung etc.
  • Recht auf Löschung
    Der Nutzer kann die Löschung seiner Daten verlangen, wenn er die Erlaubnis widerruft oder der Zweck der Nutzung weggefallen ist.
  • Recht auf Portabilität
    Der Nutzer kann verlangen, dass seine personenbezogenen Daten an andere Verantwortliche weitergegeben werden.
  • Rechenschaftspflicht
    Der Nutzer kann Auskunft darüber verlangen, ob alle Datenschutzrichtlinien eingehalten werden.

Was passiert bei Verstößen gegen die Datenschutzgrundverordnung

Bei Verstößen gegen die DSGVO liegen die Strafen für Unternehmen deutlich über dem bisherigen Strafrahmen nationaler Gesetze. Diese können bis zu 20 Millionen Euro oder 4% vom weltweiten Vorjahresumsatz betragen und auch große Konzerne empfindlich treffen.