tags: [Datenschutz, Zeiterfassung, DSGVO, Betriebsrat]
Zeiterfassung DSGVO-konform einführen: die Checkliste für Datenschutz und Betriebsrat
Seit dem BAG-Urteil vom 13. September 2022 (Az. 1 ABR 22/21) steht fest: Arbeitgeber in Deutschland sind bereits heute verpflichtet, die Arbeitszeiten ihrer Beschäftigten systematisch zu erfassen. Was das Bundesarbeitsgericht aus § 3 Abs. 2 Nr. 1 ArbSchG ableitet, deckt sich mit der Linie des EuGH (Urteil vom 14. Mai 2019, Rs. C-55/18) und der europäischen Arbeitszeitrichtlinie 2003/88/EG. Kurz: Die Arbeitszeiterfassungspflicht ist Realität – die Frage ist nicht mehr ob, sondern wie man sie rechtskonform umsetzt.
Wer jetzt ein Zeiterfassungssystem einführt, muss gleich zwei Rechtsrahmen im Blick behalten: das Datenschutzrecht (DSGVO, BDSG) und das Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG). Dieser Guide zeigt Schritt für Schritt, worauf es ankommt – und warum die Wahl der Erfassungstechnik datenschutzrechtlich erheblich ist.
Schritt 1: Rechtsgrundlage klären
Für die Verarbeitung von Arbeitszeitdaten brauchen Sie eine belastbare Rechtsgrundlage nach Art. 6 DSGVO. In der Praxis kommen vor allem zwei in Betracht:
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Greift, sobald eine gesetzliche Pflicht zur Arbeitszeiterfassung besteht – was nach dem BAG-Urteil 2022 für die meisten Betriebe bereits der Fall ist.
- Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Ergänzend anwendbar, etwa für die Lohnabrechnung.
Eine freiwillige Einwilligung der Beschäftigten taugt hier nicht als Grundlage – das Machtgefälle im Arbeitsverhältnis steht dem entgegen.
Schritt 2: Datenschutz-Folgenabschätzung (DSFA) prüfen
Eine DSFA nach Art. 35 DSGVO ist Pflicht, wenn die Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" mit sich bringt. Bei der Zeiterfassung ist das besonders dann der Fall, wenn:
- biometrische Daten verarbeitet werden (Fingerabdruckscanner, Gesichtserkennung) – diese fallen unter Art. 9 DSGVO (besondere Kategorien),
- GPS-Tracking im Dauerbetrieb eingesetzt wird,
- Leistungs- und Verhaltenskontrollen technisch möglich wären.
Klassische RFID- oder NFC-Chips sowie digitale Wallet-IDs (Apple Wallet, Google Wallet) erzeugen hingegen keine biometrischen Daten. Sie speichern lediglich eine pseudonyme Kennnummer – datenschutzrechtlich deutlich unproblematischer und in der Regel ohne DSFA-Pflicht handhabbar.
Praktischer Hinweis: Auch wenn keine DSFA formell vorgeschrieben ist, empfiehlt sich eine dokumentierte Vorabprüfung. Ihr Datenschutzbeauftragter (sofern bestellt) ist frühzeitig einzubeziehen.
Schritt 3: Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG
Besteht ein Betriebsrat, hat dieser ein erzwingbares Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Zeiterfassungssysteme fallen nahezu ausnahmslos darunter.
Ohne Betriebsvereinbarung darf das System nicht produktiv gehen. Die Betriebsvereinbarung sollte mindestens regeln:
- Zweck und Umfang der Datenerhebung
- Welche Auswertungen zulässig sind (und welche nicht)
- Speicherdauer und Löschfristen
- Zugriffsberechtigungen (Wer sieht was? HR, Vorgesetzte, Controlling?)
- Verfahren bei Systemausfällen und Korrekturen
- Regelungen für mobiles Arbeiten, Homeoffice und Außendienst
Tipp: Binden Sie den Betriebsrat schon bei der Produktauswahl ein, nicht erst bei der Einführung. Das spart Reibung und verhindert spätere Nachverhandlungen.
Schritt 4: Datenminimierung technisch umsetzen
Art. 5 Abs. 1 lit. c DSGVO verlangt, dass nur die Daten erhoben werden, die für den jeweiligen Zweck tatsächlich erforderlich sind. In der Praxis bedeutet das:
| Erfassungsmethode | Datenmenge | Risikostufe |
|---|---|---|
| Fingerabdruck / Iris-Scan | Biometrisches Template (Art. 9 DSGVO) | Hoch |
| Gesichtserkennung | Biometrisches Template (Art. 9 DSGVO) | Hoch |
| RFID / NFC Karte | Pseudonyme Chip-ID | Niedrig |
| Apple / Google Wallet | Pseudonyme Token-ID | Niedrig |
| PIN-Eingabe | Kein körperbezogenes Merkmal | Niedrig |
| GPS (kontinuierlich) | Bewegungsprofil | Mittel bis hoch |
| GPS (Geofencing) | Nur Zeitstempel Ein/Aus Zone | Mittel |
Systeme wie TimeClock 365 setzen genau auf diesen datenschutzfreundlichen Ansatz: Das Badge-in an der Zutrittskontrolle per RFID, NFC oder digitaler Wallet-ID erfasst gleichzeitig den Arbeitsbeginn – ohne Fingerabdruck, ohne biometrische Datenbank. Das vereinfacht nicht nur die DSFA, sondern erleichtert auch die Verhandlung mit dem Betriebsrat erheblich.
Schritt 5: Verzeichnis der Verarbeitungstätigkeiten und Löschkonzept
Jede Zeiterfassung gehört ins Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO). Pflichtangaben sind u. a. Zweck, Kategorien betroffener Personen, Empfänger, Übermittlung in Drittländer und geplante Löschfristen.
Für die Speicherdauer gilt:
- Steuerrechtlich relevante Arbeitszeitdaten: 10 Jahre (§ 147 AO)
- Reine Anwesenheitsdaten ohne Lohnbezug: oft 2 Jahre ausreichend
- Zugangsprotokolle der Zutrittskontrolle: je nach Betriebsvereinbarung, häufig 30–90 Tage
Die kompakte Checkliste
- [ ] Rechtsgrundlage nach Art. 6 DSGVO dokumentiert
- [ ] DSFA durchgeführt oder begründet abgelehnt
- [ ] Datenschutzbeauftragten einbezogen
- [ ] Betriebsrat frühzeitig informiert, Betriebsvereinbarung abgeschlossen
- [ ] Technisch datenschutzarme Methode gewählt (RFID/NFC/Wallet statt Biometrie)
- [ ] Verzeichnis der Verarbeitungstätigkeiten aktualisiert
- [ ] Löschfristen und Zugriffskonzept definiert
- [ ] Betroffenenrechte (Auskunft, Berichtigung, Löschung) technisch umsetzbar
- [ ] Auftragsverarbeitungsvertrag mit Softwareanbieter geschlossen (Art. 28 DSGVO)
Fazit
Eine DSGVO-konforme Zeiterfassung ist kein bürokratisches Hindernis, sondern eine Gestaltungsaufgabe. Wer frühzeitig die richtige Technologie wählt – pseudonyme RFID- oder Wallet-basierte Identifikation statt Biometrie – reduziert den datenschutzrechtlichen Aufwand erheblich und macht die Einigung mit dem Betriebsrat deutlich einfacher.
TimeClock 365 verbindet Zeiterfassung und Zutrittskontrolle in einer ISO-27001-zertifizierten Plattform: Web, App, Microsoft Teams, Slack und physisches Türterminal – alles in einem System, DSGVO-konform by design.
👉 Jetzt 30 Tage kostenlos testen: live.timeclock365.com/de/reg – keine Kreditkarte, kein Fingerabdruck erforderlich.

Top comments (0)