In unserem Artikel „Arbeitszeiterfassung vs. Datenschutz“ sind wir darauf eingegangen, unter welchen Voraussetzungen die Zeiterfassung in einem Betrieb zulässig ist. In diesem Artikel behandeln wir das Thema, welche Punkte der Zeiterfassung in einer Betriebsvereinbarung zwingend geregelt werden müssen.
Der Inhalt im Überblick
Funktionsbeschreibung
Da es für die Zeiterfassung viele verschiedene Tools mit unterschiedlichen Auswertungsmöglichkeiten gibt, ist es aus Transparenzgründen sinnvoll und erforderlich, den im Unternehmen tatsächlich eingesetzten Funktionsumfang zu beschreiben.
Art der gespeicherten Daten
In der Betriebsvereinbarung ist festzulegen, welche Daten in dem Zeiterfassungssystem gespeichert werden. Gemeint sind damit vor allem die personenbezogenen Daten der Mitarbeiter.
Zweckbindung
Die personenbezogenen Daten der einzelnen Mitarbeiter dürfen nur im Rahmen des vorher in der Betriebsvereinbarung festgelegten Zwecks verarbeitet werden.
Wenn der Zweck der Verarbeitung die Berechnung der Auslastung der einzelnen Mitarbeiter in Bezug auf bestimmte Projekte ist, dann dürfen die personenbezogenen Daten der Mitarbeiter auch nur zu diesem Zweck genutzt werden. Ist der Zweck die Berechnung der geleisteten Arbeitszeiten allgemein, so muss die Auswertung sich in diesen Grenzen bewegen.
Zudem ist die Rechtsfolge zu regeln, was passiert, wenn die Daten außerhalb des Zwecks verwendet wurden.
Zugriffsrechte
Bei der Vergabe von Zugriffsrechten ist das „Need to know“-Prinzip einzuhalten. Damit ist gemeint, dass nur solche Mitarbeiter im Unternehmen auf die Daten im Zeiterfassungssystem zugreifen dürfen, die diese Informationen zur Erfüllung eigener Arbeitsaufgaben benötigen.
In der Regel brauchen die Vorgesetzten bzw. die Personalverantwortlichen einen Zugriff auf die Daten im Zeiterfassungssystem. Ausnahmsweise können auch die Projektleiter bzw. Projektverantwortlichen auf die Daten zugreifen, soweit dies erforderlich ist, um die Projektplanung zu organisieren (auch hier gilt: Dieser Zweck muss vorher ausdrücklich geregelt werden).
Die Zugriffsregelungen sind alle in einem Berechtigungskonzept niederzuschreiben. Ebenso ist dort zu beschreiben, wer organisatorisch und technisch die Berechtigungen vergibt, da zwischen Berechtigungsbewilligung und Berechtigungsvergabe unterschieden werden muss.
Auswertung der Daten
Wie oben erwähnt, dürfen die personenbezogenen Daten im Zeiterfassungssystem nur zu dem vorher festgelegten Zweck verarbeitet werden. Mit „verarbeiten“ ist dabei insbesondere die Auswertung der Daten gemeint. So kann es zulässig sein, dass die Daten zum Zwecke der Auslastung der Mitarbeiter ausgewertet werden. So weit wie möglich, sind die Daten jedoch zu anonymisieren. Berichte und Auswertungen der Zeiterfassungsdaten zu einzelnen Projekten bedürfen in der Regel nicht der Namensnennung der Beschäftigten.
Informationen über Krankheit oder Erholungsurlaub zählen zu den besonders vertraulich zu behandelnden Personalaktendaten, die vor unbefugter Kenntnisnahme zu schützen sind. Auf solche Informationen dürfte zum Beispiel nur der direkte Vorgesetzte Zugriff haben. Dagegen bestehen gegen eine Auswertung der Zeiterfassungsdaten für unternehmensinterne An- bzw. Abwesenheitslisten keine Bedenken, solange die Gründe für die An- bzw. Abwesenheit nicht genannt werden.
Darüber hinaus sind die Grenzen der (noch) zulässigen Leistungs- und Verhaltenskontrolle zu beachten. Anonymisierungen können sicherstellen, dass Leistungsvergleiche zwischen Mitarbeiter oder Rückschlüsse auf Arbeitsverhalten und -leistung einzelner Mitarbeiter ausgeschlossen sind.
Eine Dauerüberwachung von Mitarbeitern z.B. mittels RFID oder GPS-Ortungssysteme ist in der Regel unzulässig.
Dauer der Datenspeicherung
Regelungen zu der Dauer der Datenspeicherung in Zeiterfassungssystemen gibt es nur einige wenige. So legt § 16 Abs. 2 ArbZG lediglich fest, dass die über die werktägliche Arbeitszeit hinausgehende Arbeitszeit (Überstunden) für zwei Jahre zu speichern ist.
Weitere Aufbewahrungsfristen können sich aus steuerrechtlichen Normen ergeben. Beispielsweise müssen Bruttolohnlisten gemäß § 257 Abs. 1 Nr. 2, Abs. 4 HGB, § 147 Abs. 1 Nr. 2, Abs. 3 AO für sechs Jahre aufbewahrt werden.
Vorabkontrolle und Verfahrensverzeichnis
Bei der Einführung eines Zeiterfassungssystems ist der Datenschutzbeauftragte Ihres Unternehmens einzubeziehen. Die Aufgabe des Datenschutzbeauftragten ist es – neben einer gegebenenfalls erforderlichen Vorabkontrolle – ein Verfahrensverzeichnis zu erstellen. Zu diesem Zweck sind dem Datenschutzbeauftragten die in § 4e BDSG genannten Informationen zur Verfügung zu stellen.
Dieser Artikel ist Teil unserer Serie zum Arbeitnehmerdatenschutz.
Ein erneutes Einstellen einer bzgl. der Dokumantationspflicht (Mindestlohngesetzgebung) erweiterten/angepassten Version des oben verlinkten Artikels aus 2010 wäre sicher noch eine gute Idee.
Hallo,
es gehört NICHT zu den Aufgaben des Datenschutzbeauftragten, ein Verfahrensverzeichnis zu erstellen!
Zitat: „Die Aufgabe des Datenschutzbeauftragten ist es – neben einer gegebenenfalls erforderlichen Vorabkontrolle – ein Verfahrensverzeichnis zu erstellen.“
Guten Tag, der Leiter der Filiale in der ich arbeite, hängt jede Woche das Arbeitszeitenblatt mit dem Minusstunden (die er selber durch eine schlechte Organisation verursacht hat) und dem Feriensaldo, ersichtlich für alle Mitarbeiter, an der Anschlagtafel in der Produktion aus. Darf er das? Ich arbeite erst seit drei Monaten und habe durch sein verschulden über 40 Stunden Minus.
Da wir an dieser Stelle keine individuelle Rechtsberatung leisten können, möchte ich Ihnen ein paar grundsätzliche Hinweise geben. Nach § 32 Abs. 1 S. 1 BDSG darf der Arbeitgeber Beschäftigendaten nur erheben, verarbeiten und nutzen, wenn dies (…) nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung (…) erforderlich ist.
Die Erfassung der Arbeitszeit durch den Arbeitgeber ist für die Durchführung des Beschäftigungsverhältnisses grundsätzlich erforderlich und daher datenschutzrechtlich unbedenklich. Ein Aushang der individuellen Plus- oder Minusstunden am schwarzen Brett wird jedoch für die Durchführung des Beschäftigungsverhältnisses regelmäßig nicht erforderlich sein und ist damit datenschutzrechtlich unzulässig. Das gilt auch für den Aushang des individuellen Urlaubsanspruchs.
Ein sehr interessanter Artikel. Ich arbeite in einem Kleinunternehmen und wir haben uns sehr viel mit Arbeitsrecht auseinander gesetzt und vor allem mit der Arbeitszeitregelung. Wir haben uns dann schließlich entschlossen ein professionelles Zeiterfassungssystem zu verwenden [LINK ENTFERNT], um sicherzustellen dass wir allen rechtlichen Bedingungen entsprechen und nichts machen, was nicht erlaubt ist. So können wir uns auch auf das Unternehmen konzentrieren.
Ihre Erörterungen zu Datenschutz in Betriebsvereinbarungen bei Zeiterfassung, der Verwendung von Personalmanagement (speichern z.B. Grad der Behinderung) u.der Nutzung bestimmter Telekommunikationsanlagen oder der Nutzung elektronischer Zutrittskontrollen ist älteren Datums. Gerade die neuen Anforderungen wären aber interessant, wenn die Unternehmen jetzt ihre BVs datenschutzrechtlich unter die Lupe nehmen müssen.
Guten Tag, wir haben auch eine Zeiterfassung und jeder Mitarbeiter kann sich in seine Personnummer einloggen (über einen Browser) um seine Arbeitszeiten zu kontrollieren oder auch seinen Urlaub zu beantragen. Des Weiteren, und dies ist der eigentliche Punkt meines Kommentares, haben wir einen Punkt in dieser Onlineabfrage, wo jeder sehen kann wer Anwesend ist, ob er in der Pause ist und wann er wieder Anwesend sein wird (Krankheit oder Urlaub wird nicht dargestellt). Jetzt meine Frage, kann ich diesen Punkt aus Datenschutzgründen jedem Mitarbeiter untersagen? Vorgesetzte brauchen diese Funktion sicherlich, aber jeder Mitarbeiter? Ist dies möglich?
Bei uns hat sich leider eine Mentalität entwickelt, das hier jeder Kontrolliert wird von jedem :(
Wenn die Mitarbeiter untereinander nicht wissen müssen, wer grade in der Pause ist und wer nicht, dann sollte diese Funktion deaktiviert werden.
In meinem Betrieb wurde eine digitale Zeiterfassung mittels RFID-Chipkarte angebracht.
Einfach so, weil anscheinend 2 Mitarbeiter sich Arbeitszeiten notiert haben die so nicht stimmen.
Bei meiner Recherche habe ich herausgefunden, das bei Betrieben mit einem Betriebsrat, dessen Zustimmung eingeholt werden muss.
Wie verhält es sich in Betrieben ohne Betriebsrat?
Der Arbeitgeber darf die Arbeitszeiten der Beschäftigten im gesetzlichen Rahmen auch digital erfassen. D.h. beispielsweise, dass über das System nur solche Daten der Beschäftigten erhoben dürfen, die für die Erfassung der Arbeitszeiten zwingend erforderlich sind. Es darf keine lückenlose Tracking der Beschäftigten stattfinden. Die datenschutzrechtlichen Aspekte des Systems hat der Arbeitgeber in einem Verarbeitungsverzeichnis festhalten.