Home > Ressourcen > Blog > DSGVO und Zeiterfassung: Worauf Unternehmen achten müssen

DSGVO und Zeiterfassung: Worauf Unternehmen achten müssen

von Gabriele Kaier, 23.06.2025

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen, beim Umgang mit personenbezogenen Daten strenge Vorgaben einzuhalten. In diesem Beitrag erläutert Mag. Philipp Reinisch, Rechtsanwalt mit Schwerpunkt Informationsrecht und Datenschutz, worum es bei der DSGVO geht, welche Konsequenzen sie für die Zeiterfassung hat und wie TimeTac Unternehmen bei der datenschutzkonformen Umsetzung unterstützt.

Zeiterfassung fällt unter den Schutz der DSGVO

1. DSGVO – Was steckt dahinter und wer ist betroffen?

Die DSGVO ist eine Verordnung der Europäischen Union, die seit dem 25. Mai 2018 verbindlich ist. Sie regelt die Verarbeitung personenbezogener Daten innerhalb der EU – mit dem Ziel, einheitliche Datenschutzstandards zu schaffen. Dabei spielt die Größe oder Art der Organisation keine Rolle: Die Vorgaben gelten für Unternehmen, Behörden, Vereine und andere Institutionen – auch außerhalb der EU, sofern sie Daten von EU-Bürger/innen verarbeiten. Zusätzlich greifen nationale Datenschutzgesetze wie das BDSG in Deutschland oder das DSG in Österreich.

2. Was zählt zu personenbezogenen Daten?

Als personenbezogene Daten gelten alle Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen. Dazu gehören unter anderem Namen, Adressen und Mitarbeitendenummern – aber auch Arbeitszeiten, Pausen und Zeitstempel im Rahmen der Zeiterfassung. Da diese Angaben Rückschlüsse auf eine konkrete Person zulassen, sind sie besonders schützenswert.

3. Datenschutzkonforme Zeiterfassung – diese Vorgaben gelten

Im Rahmen der Zeiterfassung ist es erforderlich, die zentralen Prinzipien der DSGVO zu wahren. Das bedeutet:

  • Zweckbindung: Es muss ersichtlich sein, warum die Daten erhoben werden – z. B. zur korrekten Gehaltsabrechnung.
  • Datenminimierung: Nur Daten, die tatsächlich erforderlich sind, dürfen erfasst werden. Diese müssen zudem richtig und aktuell sein.
  • Speicherbegrenzung: Eine Speicherung darf nur solange erfolgen, wie der Zweck es erfordert.
  • Vertraulichkeit: Der Zugang zu den Daten muss beschränkt sein – nur befugte Personen dürfen darauf zugreifen. Eine Weitergabe ist nur in gesetzlich erlaubten Fällen zulässig.

Rechtliche Grundlagen nach Art. 6 DSGVO:

Die Verarbeitung von Arbeitszeitdaten muss sich auf eine der folgenden Rechtsgrundlagen stützen:

  • Einwilligung: Im Arbeitsverhältnis meist ungeeignet, da nicht freiwillig.
  • Vertragserfüllung: Der Arbeitsvertrag allein reicht nicht als Grundlage.
  • Rechtliche Verpflichtung: Erfasst etwa gesetzliche Vorgaben zur Arbeitszeit.
  • Lebenswichtiges Interesse: Trifft hier nicht zu.
  • Öffentliches Interesse: Ebenfalls nicht anwendbar.
  • Berechtigtes Interesse: In diesem Kontext nicht ausreichend.
  • Betriebsvereinbarung oder Einzelvereinbarung: Zulässig und praktikabel.
  • Rechtsverteidigung: In speziellen Fällen möglich.

4. Wer trägt die Verantwortung?

Die Verantwortung für die Einhaltung der DSGVO liegt beim Arbeitgebenden. Als datenschutzrechtlich Verantwortliche müssen Unternehmen dafür sorgen, dass sämtliche Vorschriften eingehalten werden – insbesondere beim Umgang mit personenbezogenen Daten von Mitarbeitenden. Dies schließt auch geeignete technische und organisatorische Schutzmaßnahmen mit ein. Verstöße können empfindliche Sanktionen nach sich ziehen.

5. Was ist erlaubt? Umgang mit biometrischen Daten

Bei der Nutzung von Fingerabdrücken oder Gesichtserkennung zur Arbeitszeiterfassung ist besondere Vorsicht geboten. Diese Methoden betreffen sogenannte besondere Kategorien personenbezogener Daten – also besonders sensible Informationen. Ihre Verwendung ist in der Regel nur dann zulässig, wenn eine ausdrückliche Zustimmung der betroffenen Person vorliegt und hohe Datenschutzanforderungen erfüllt sind.

Auch bei der Verwendung von Standortdaten ist Zurückhaltung geboten. Solche Verfahren sind grundsätzlich kritisch zu beurteilen und sollten nur unter sorgfältiger rechtlicher Prüfung erfolgen. Eine pauschale Anwendung ist nicht empfehlenswert.

6. So hilft TimeTac bei der DSGVO-konformen Zeiterfassung

TimeTac bietet eine Zeiterfassungs-Software, die sämtliche Anforderungen der DSGVO berücksichtigt. Das System schützt gespeicherte Daten durch umfassende technische und organisatorische Sicherheitsmaßnahmen und gewährleistet gleichzeitig eine hohe Verfügbarkeit und Stabilität.

Wichtig: Die Verantwortung für den sicheren Umgang mit den Daten liegt auch beim Unternehmen selbst. Dazu zählt die sorgfältige Verwaltung der Zugangsdaten, die regelmäßige Pflege der gespeicherten Informationen sowie der Schutz vor unbefugtem Zugriff.

Gastbeitrag von: Philipp Reinisch

Philipp Reinisch ist Partner bei Fieldfisher und als Rechtsanwalt auf technologiebezogene Geschäftsmodelle sowie Datenschutz spezialisiert.

TimeTac ist DSGVO-konform

Unsere Software erfüllt die Anforderungen der DSGVO.

Mehr erfahren

TimeTac ist DSGVO-konform

Mehr erfahren

Unsere Software erfüllt die Anforderungen der DSGVO.

Kategorien

Meistgelesen

Folgen Sie uns

Teilen auf

Auch das könnte Sie interessieren

Bereitschaftsdienst_Zeiterfassung

Zählt Bereitschaftsdienst zur Arbeitszeit?

Jetzt ist es fix: Arbeitszeit in Deutschland muss elektronisch erfasst werden

Koalitionsvertrag 2025: Pflicht zur Arbeitszeiterfassung

Arbeitsrecht 2025: Diese Änderungen sollten Sie kennen
30 Tage kostenlos testen

Jetzt testen!

Probieren Sie TimeTac kostenlos aus

So einfach und unkompliziert kann Zeiterfassung und Urlaubsverwaltung sein. Testen Sie TimeTac jetzt 30 Tage unverbindlich und überzeugen Sie sich von den Vorteilen der modernen TimeTac Online-Zeiterfassung. Keine Kreditkarte notwendig! Der Testaccount endet automatisch.

30 Tage kostenlos testen