DSGVO und Zeiterfassung: Was Arbeitgeber wissen müssen

Zeiterfassungsdaten sind personenbezogene Daten — sie verknüpfen Zeitstempel, Dauer und Projektbeschreibungen mit einzelnen Mitarbeitern. Damit greift die Datenschutz-Grundverordnung vollständig.

Die wichtigsten Grundsätze:

• Rechtsgrundlage — Arbeitgeber benötigen eine klare Grundlage für die Erhebung von Zeitdaten (gesetzliche Pflicht, berechtigtes Interesse)
• Informationspflicht — Mitarbeiter müssen wissen, was erfasst wird, wie lange die Daten gespeichert werden und wer Zugriff hat
• Technische Schutzmaßnahmen — angemessene Sicherheit nach Artikel 32 DSGVO
• Betroffenenrechte — Auskunft, Berichtigung und Löschung müssen gewährleistet sein

Deutsche Datenschutzbehörden nehmen Mitarbeiterüberwachung besonders ernst. Tools, die über reine Zeiterfassung hinausgehen — etwa durch Screenshots oder Aktivitätstracking — geraten schnell ins Visier.

Deutschland hat über die EU-Vorgaben hinaus eigene Anforderungen geschaffen:

• Arbeitszeitgesetz (ArbZG) — verpflichtet Arbeitgeber zur Erfassung von Überstunden sowie Sonn- und Feiertagsarbeit
• BAG-Urteil (September 2022) — das Bundesarbeitsgericht hat bestätigt, dass Arbeitgeber die gesamte Arbeitszeit aller Mitarbeiter erfassen müssen, nicht nur Überstunden
• Betriebsverfassungsgesetz — existiert ein Betriebsrat, hat dieser ein Mitbestimmungsrecht bei Einführung und Ausgestaltung von Zeiterfassungssystemen

Diese Pflichten erzeugen eine doppelte Compliance-Herausforderung: Arbeitszeit muss erfasst werden (Arbeitsrecht), die erfassten Daten müssen aber gleichzeitig geschützt werden (DSGVO). Der einfachste Weg ist ein Tool, das nur das gesetzlich Erforderliche erfasst — Stunden, Pausen und Projektzuordnungen — ohne Verhaltensdaten zu sammeln.

Betriebsräte reagieren besonders sensibel auf Tools, die als Leistungsüberwachung fungieren könnten. Tastaturprotokollierung, Screenshot-Erfassung oder Leerlaufzeit-Erkennung führen häufig zu formellen Einsprüchen.

Bei der Bewertung von Zeiterfassungstools für deutsche Organisationen sind folgende Faktoren entscheidend:

• Datenstandort — Server in Deutschland oder der EU machen aufwendige internationale Datentransfer-Bewertungen überflüssig
• Minimale Datenerhebung — das Tool sollte Zeiteinträge erfassen, ohne Bildschirminhalte, App-Nutzung oder Standortdaten zu sammeln
• Nachvollziehbarkeit — klares Logging, wer auf welche Daten zugegriffen hat
• Auftragsverarbeitungsvertrag (AVV) — jeder SaaS-Anbieter, der Mitarbeiterdaten verarbeitet, muss einen abschließen
• Transparenz bei Unterauftragsverarbeitern — Sie sollten genau wissen, welche Dritten Ihre Daten verarbeiten

Tools, die auf Infrastruktur wie Hetzner in Deutschland gehostet werden, bieten einen praktischen Vorteil: Die Daten verlassen nie die deutsche Jurisdiktion. Das vereinfacht die DSGVO-Dokumentation und überzeugt auch vorsichtige Datenschutzbeauftragte.

Teetrack wird auf Hetzner-Servern in Deutschland gehostet. Alle Daten unterliegen deutschem und EU-Recht.

Zentrale Compliance-Merkmale:

• Keine Mitarbeiterüberwachung — keine Screenshots, keine Tastaturprotokolle, keine Leerlauferkennung
• Deutscher Datenstandort — Hetzner-Rechenzentren in Falkenstein und Nürnberg
• Minimaler Daten-Footprint — gespeichert werden nur Zeiteinträge, Projektzuordnungen und Teamstruktur
• Datenexport — Workspace-Inhaber können alle Daten für Audits oder Auskunftsersuchen exportieren
• Kontolöschung — individuelle Nutzerdaten können beim Ausscheiden oder auf Anfrage entfernt werden

Für Organisationen mit Betriebsrat erleichtert der begrenzte Datenumfang von Teetrack die Betriebsvereinbarung — es gibt keine versteckte Überwachung, über die verhandelt werden müsste.