DSGVO-konforme Zeiterfassung: Was Ihr Tool leisten muss

Jeder Zeiterfassungseintrag verknüpft einen Zeitstempel mit einer Person. Damit handelt es sich nach der Datenschutz-Grundverordnung (DSGVO) um personenbezogene Daten — und es gelten entsprechende Regeln.

Die wichtigsten Grundsätze für die Zeiterfassung:

• Zweckbindung — Zeitdaten dürfen nur für festgelegte, legitime Zwecke erhoben werden (Lohnabrechnung, Projektkalkulation, gesetzliche Pflichten)
• Datenminimierung — nur das erfassen, was tatsächlich benötigt wird; keine Tastatureingaben, keine Standortdaten, keine Screenshots ohne zwingende Begründung
• Speicherbegrenzung — Aufzeichnungen nur so lange aufbewahren, wie gesetzlich oder betrieblich erforderlich
• Integrität und Vertraulichkeit — angemessene technische und organisatorische Schutzmaßnahmen

Wenn Ihr Zeiterfassungstool Daten auf US-Servern speichert, invasives Monitoring betreibt oder keine klare Verarbeitungsdokumentation bietet, besteht möglicherweise bereits eine Compliance-Lücke.

Als Verantwortlicher trägt der Arbeitgeber die Pflicht, die Verarbeitung von Zeitdaten korrekt zu gestalten. In der Praxis bedeutet das:

• Mitarbeiter informieren — was erfasst wird, warum und wo die Daten gespeichert werden
• Rechtsgrundlage sicherstellen — typischerweise berechtigtes Interesse oder gesetzliche Verpflichtung (z. B. das EuGH-Urteil von 2019 zur Arbeitszeiterfassungspflicht)
• Auskunftsrechte gewährleisten — Mitarbeiter können eine Kopie ihrer Zeitdaten anfordern
• Löschung ermöglichen — nach Ablauf der Aufbewahrungsfristen müssen Daten löschbar sein
• Verarbeitungsverzeichnis führen — ein Verzeichnis der Verarbeitungstätigkeiten, das auch Ihr Zeiterfassungssystem abdeckt

Viele Teams übersehen diese Anforderungen, weil sie Zeiterfassung als „rein internes Tool" betrachten. Doch interne Tools, die personenbezogene Daten verarbeiten, fallen vollständig unter die DSGVO.

Nicht jedes Zeiterfassungstool ist mit europäischem Datenschutz im Blick entwickelt worden. Prüfen Sie bei der Auswahl:

• EU-Datenstandort — werden die Daten innerhalb der EU gespeichert oder laufen sie über US-Cloud-Anbieter?
• Keine Überwachungsfunktionen — Screenshot-Erfassung, Tastaturprotokollierung und Aktivitätsbewertung gehen weit über das hinaus, was die DSGVO für Zeiterfassung als verhältnismäßig betrachtet
• Datenexport und Löschung — können Sie alle Mitarbeiterdaten auf Anfrage exportieren und bei Bedarf löschen?
• Transparente Auftragsverarbeiter — listet der Anbieter auf, wer sonst noch Zugriff auf Ihre Daten hat?
• Verschlüsselung bei Übertragung und Speicherung — grundlegende Sicherheitsanforderung nach Artikel 32

Ein Tool, das auf Hetzner-Servern in Deutschland gehostet wird, hält die Daten unter EU-Jurisdiktion — ohne komplexe grenzüberschreitende Transfermechanismen.

Teetrack wird auf Hetzner-Servern in Deutschland gehostet. Alle Zeiterfassungsdaten bleiben innerhalb der EU. Es gibt keine US-Auftragsverarbeiter für Datenspeicherung oder -verarbeitung.

Der Ansatz ist unkompliziert:

• Keine Screenshots, keine Tastaturprotokollierung, kein Aktivitäts-Monitoring — Teetrack erfasst Zeiteinträge, nicht das Verhalten der Mitarbeiter
• Daten bleiben in Deutschland — Hetzner-Rechenzentren in Falkenstein und Nürnberg
• Export und Löschung — Workspace-Inhaber können Daten exportieren und Konten bei Bedarf entfernen
• Minimale Datenerhebung — Teetrack erfasst, was für Zeiterfassung und Projektmanagement nötig ist, nicht mehr

Das vereinfacht die Dokumentation Ihrer Verarbeitungstätigkeiten und die Beantwortung von Auskunftsersuchen — ohne eigenes Compliance-Projekt.