DSGVO Zeiterfassung Datenschutz Arbeitgeber

Die Zeiterfassungspflicht ist seit dem Grundsatzbeschluss des Bundesarbeitsgerichts vom 13. September 2022 für alle Arbeitgeber in Deutschland Realität. Doch wer glaubt, mit dem Kauf einer Zeiterfassungslösung alle Pflichten zu erfüllen, übersieht eine zweite, genauso kritische Anforderung: die DSGVO. DSGVO Zeiterfassung Datenschutz Arbeitgeber — dieser Komplex ist für viele Unternehmen rechtliches Neuland. Welche Rechtsgrundlage gilt, wenn Mitarbeiterzeiten digital erfasst werden? Welche Daten dürfen überhaupt gespeichert werden? Wann muss der Betriebsrat zustimmen? Und was droht, wenn Datenschutzverstöße aufgedeckt werden? Dieser Leitfaden beantwortet diese Fragen konkret — mit Blick auf die gesetzlichen Anforderungen 2026.

DSGVO Zeiterfassung Datenschutz Arbeitgeber: Was Sie 2026 wissen müssen

NEU 2026

Die Pflicht zur Arbeitszeiterfassung und der Datenschutz sind zwei Seiten derselben Münze. Seit dem Urteil des EuGH vom 14. Mai 2019 (Az. C-55/18) und dem Beschluss des BAG vom 13. September 2022 (Az. 1 ABR 22/21) steht fest: Arbeitgeber müssen die Arbeitszeit ihrer Mitarbeiter systematisch erfassen. Das BAG leitete diese Pflicht aus § 3 Abs. 2 Nr. 1 ArbSchG ab. Was viele Unternehmen dabei unterschätzen: Jedes digitale Zeiterfassungssystem verarbeitet personenbezogene Daten — nämlich Informationen über das Verhalten konkreter, identifizierbarer Personen. Das löst automatisch datenschutzrechtliche Pflichten aus, die parallel zur Erfassungspflicht einzuhalten sind.

Arbeitgeber sind nach § 3 Abs. 2 Nr. 1 ArbSchG verpflichtet, ein System einzuführen und zu nutzen, mit dem die von den Arbeitnehmern geleistete Arbeitszeit erfasst werden kann.

BAG, Beschluss vom 13. September 2022, Az. 1 ABR 22/21

Konkret bedeutet das: Bevor Sie ein Zeiterfassungssystem einführen oder Ihre bestehende Lösung digitalisieren, müssen Sie drei Kernfragen klären. Erstens die Rechtsgrundlage: Auf welcher gesetzlichen Basis verarbeiten Sie Arbeitszeitdaten? Zweitens die Datensparsamkeit: Welche Daten sind für den Zweck der Zeiterfassung tatsächlich erforderlich — und welche nicht? Drittens die Transparenz: Haben Ihre Mitarbeiter eine rechtskonforme Datenschutzinformation erhalten? Diese drei Fragen sind keine Formalitäten. Sie sind der Kern einer datenschutzkonformen Implementierung.

Wer diese Fragen nicht beantwortet, riskiert ernsthafte Konsequenzen. Datenschutzbehörden können nach Art. 83 DSGVO Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängen — je nachdem, welcher Betrag höher ist. Die DSGVO Zeiterfassung Datenschutz Arbeitgeber ist also keine theoretische Randfrage, sondern eine reale unternehmerische Haftungsfrage. Das gilt für Kleinbetriebe ebenso wie für Konzerne. Ein klarer Rechtsrahmen existiert — entscheidend ist, ihn korrekt auszufüllen.

Wichtig zur Klarstellung: Die DSGVO verbietet die Zeiterfassung nicht. Sie schafft den Rahmen, unter dem die DSGVO-konforme Zeiterfassung zulässig und rechtssicher ist. Unternehmen, die diesen Rahmen von Anfang an beachten, berichten in der Praxis, dass der Compliance-Aufwand überschaubar ist — vorausgesetzt, die Systemauswahl erfolgt mit Bedacht. Mehr zur rechtskonformen Einführung finden Sie auch in unserem Leitfaden zur Zeiterfassungspflicht für Arbeitgeber.

DSGVO Zeiterfassung Datenschutz Arbeitgeber – Rechtsgrundlage § 26 BDSG

§ 26 BDSG

Jede Verarbeitung personenbezogener Daten braucht eine Rechtsgrundlage — das ist das Fundament der DSGVO. Für die Zeiterfassung im Arbeitsverhältnis kommen zwei zentrale Normen in Betracht, die zusammen einen robusten Rechtsrahmen bilden. Das BDSG konkretisiert die DSGVO für den deutschen Beschäftigungskontext.

§ 26 Abs. 1 BDSG regelt die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Danach ist die Verarbeitung personenbezogener Beschäftigtendaten zulässig, wenn sie für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Die Zeiterfassung fällt hierunter, weil Arbeitszeitdaten zur ordnungsgemäßen Abrechnung, zur Überstundenvergütung und zur Einhaltung des Arbeitszeitgesetzes notwendig sind.

Parallel gilt Art. 6 Abs. 1 lit. c DSGVO: Die Verarbeitung ist zulässig, wenn sie zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen erforderlich ist. Diese Verpflichtung ergibt sich aus § 16 ArbZG (Aufzeichnungspflicht für Überstunden und Sonn-/Feiertagsarbeit) sowie aus § 3 ArbSchG in der Auslegung durch das BAG. Beide Normen gemeinsam decken die Zeiterfassung rechtsgrundlagemäßig umfassend ab.

In der Praxis empfehlen Datenschutzexperten, beide Rechtsgrundlagen in der Datenschutzinformation zu benennen — § 26 BDSG für die allgemeine Beschäftigtendatenverarbeitung und Art. 6 lit. c DSGVO für die spezifische gesetzliche Aufzeichnungspflicht. Der entscheidende Vorteil: Eine gesonderte Einwilligung der Mitarbeiter ist bei diesen Rechtsgrundlagen nicht erforderlich. Das vereinfacht die Einführung erheblich und beseitigt das Problem der erzwungenen Einwilligung im Arbeitsverhältnis.

Was Sie zwingend tun müssen: Ihre Mitarbeiter gemäß Art. 13 DSGVO informieren. Die Datenschutzinformation muss erläutern, welche Daten zu welchem Zweck verarbeitet werden, wie lange sie gespeichert werden, wer Zugriff hat und welche Rechte die Betroffenen haben. Viele Unternehmen unterschätzen diesen Schritt. Fehlende Transparenz bei der Zeiterfassung ist einer der häufigsten Verstöße, den Aufsichtsbehörden bei Prüfungen dokumentieren — und einer der am einfachsten zu vermeidenden.

Welche Mitarbeiterdaten darf die Zeiterfassung speichern?

DSGVO Zeiterfassung Datenschutz Arbeitgeber – erlaubte Mitarbeiterdaten 2026 — Übersicht: Welche Arbeitszeitdaten DSGVO-konform gespeichert werden dürfen

Das Datensparsamkeitsprinzip aus Art. 5 Abs. 1 lit. c DSGVO ist eindeutig: Es dürfen nur Daten erhoben werden, die für den verfolgten Zweck tatsächlich erforderlich sind. Für die Arbeitszeiterfassung sind das in aller Regel folgende Basisdaten:

Beginn und Ende der täglichen Arbeitszeit
Dauer und Lage der Pausenzeiten
Gesamtdauer der Arbeitszeit pro Tag und Woche
Überstunden und Minderstunden (Saldo)
Bei Projektzeiterfassung: Zuordnung zu Projekten oder Kostenstellen (sofern vertraglich vereinbart)

Nicht ohne weiteres erlaubt sind Daten, die über den Zeiterfassungszweck hinausgehen: exakte GPS-Koordinaten im Büro-Umfeld, biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung (dazu mehr in Abschnitt 9), Verknüpfungen mit Leistungs- oder Verhaltensüberwachungsdaten sowie Gesundheitsdaten — etwa Krankenstandsanalysen, die direkt aus dem Zeiterfassungssystem generiert werden. Diese Daten berühren andere Rechtsgrundlagen und erfordern eine gesonderte Rechtfertigung.

Wichtiger Hinweis

Wenn ein Zeiterfassungssystem technisch in der Lage ist, das Verhalten oder die Leistung von Arbeitnehmern zu überwachen — etwa durch detaillierte Aktivitätslogs oder Bewegungsprofile — greift § 87 Abs. 1 Nr. 6 BetrVG. Der Betriebsrat hat dann ein erzwingbares Mitbestimmungsrecht, unabhängig davon, ob die Überwachung tatsächlich stattfindet. Die bloße technische Eignung genügt.

Arbeitgeber sollten bei der Systemkonfiguration darauf achten, nur die Daten tatsächlich zu speichern, die für Lohnabrechnung, ArbZG-Compliance und interne Auswertungen benötigt werden. Datensparsamkeit ist kein bürokratisches Prinzip — sie schützt Ihr Unternehmen vor dem Vorwurf der unverhältnismäßigen Überwachung, reduziert die Angriffsfläche bei Datenschutzvorfällen und spart langfristig Verwaltungsaufwand bei Betroffenenanfragen.

§ 87 BetrVG: Mitbestimmung des Betriebsrats bei der Zeiterfassung

§ 87 Abs. 1 Nr. 6 BetrVG ist eine der meistunterschätzten Normen im Zusammenhang mit digitaler Arbeitszeiterfassung. Er räumt dem Betriebsrat ein erzwingbares Mitbestimmungsrecht ein bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt oder geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Das betrifft nahezu jedes digitale Zeiterfassungssystem — auch wenn die Überwachung nicht der primäre Zweck ist. Die bloße Eignung zur Überwachung reicht aus.

Die Folge ist klar: Ohne Zustimmung des Betriebsrats — entweder durch eine Betriebsvereinbarung oder durch einen Einigungsstellenspruch — darf kein neues Zeiterfassungssystem eingeführt werden. Geschieht es dennoch, können Betriebsrat und Mitarbeiter die Nutzung des Systems untersagen lassen. Das BAG hat die Reichweite von § 87 Abs. 1 Nr. 6 BetrVG in ständiger Rechtsprechung bestätigt und ausgedehnt. Arbeitgeber, die diesen Schritt übergehen, riskieren einen kostenintensiven Einigungsstellenstreit und den Weiterbetrieb eines Systems ohne rechtliche Grundlage.

Eine rechtskonforme Betriebsvereinbarung zur Zeiterfassung sollte mindestens folgende Punkte verbindlich regeln:

Zweck der Erfassung: Ausschließlich Arbeitszeitdokumentation gemäß ArbZG — keine Leistungsüberwachung
Erfasste Datenarten: Abschließende Aufzählung aller gespeicherten Daten
Zugriffsrechte: Welche Personen (Vorgesetzte, HR, Lohnbuchhaltung) dürfen was einsehen?
Aufbewahrungsdauer: Konkrete Fristen und Löschroutinen
Auswertungen: Welche Reports sind erlaubt, welche ausdrücklich verboten?
Betroffenenrechte: Wie können Mitarbeiter ihre Daten einsehen, korrigieren und Widerspruch einlegen?

Ein praxisnaher Hinweis: Binden Sie den Betriebsrat frühzeitig ein — idealerweise bereits bei der Systemauswahl. Das spart Iterationen und verhindert, dass eine bereits beschaffte und konfigurierte Lösung nachträglich abgelehnt werden muss. Gute Zeiterfassungsanbieter stellen Muster-Betriebsvereinbarungen zur Verfügung, die als Verhandlungsgrundlage dienen können. In Unternehmen ohne Betriebsrat entfällt die formale Mitbestimmungspflicht — die datenschutzrechtlichen Anforderungen aus der DSGVO bleiben jedoch vollständig erhalten. Weiterführende Hinweise zur Betriebsratsrolle finden Sie auf unserer Seite zur Zeiterfassung im Mittelstand.

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Technische Schutzmaßnahmen digitale Arbeitszeiterfassung DSGVO Unternehmen — TOMs nach Art. 32 DSGVO: Technische Anforderungen an Zeiterfassungssysteme

Art. 32 DSGVO verpflichtet jeden Verantwortlichen, geeignete TOMs zu treffen, um ein dem Risiko angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Für die digitale Arbeitszeiterfassung sind folgende Maßnahmen besonders relevant und regelmäßig Gegenstand von Datenschutzprüfungen.

Auf technischer Ebene zählen dazu: Verschlüsselung der übertragenen und gespeicherten Zeiterfassungsdaten (mindestens TLS 1.2 in der Übertragung, AES-256 im Ruhezustand), rollenbasierte Zugriffskontrollen nach dem Least-Privilege-Prinzip (nur autorisierte HR-Mitarbeiter und direkte Vorgesetzte erhalten Zugriff auf Zeitdaten), automatische Sitzungstrennung nach Inaktivität sowie die Protokollierung von Zugriffen auf sensitive Datensätze. Ein deutsches Rechenzentrum mit ISO 27001-Zertifizierung erfüllt diese Anforderungen strukturell und vereinfacht die Dokumentation erheblich — weil die technischen Schutzmaßnahmen bereits durch die Zertifizierung belegt sind.

Auf organisatorischer Ebene sind folgende Maßnahmen erforderlich: regelmäßige Schulung aller Mitarbeiter, die mit dem Zeiterfassungssystem arbeiten, der Abschluss eines Auftragsverarbeitungsvertrags (AVV nach Art. 28 DSGVO) mit dem Zeiterfassungsanbieter sowie — bei biometrischer Erfassung — eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Wichtig: Der AVV muss spezifisch sein und die Weisungsgebundenheit des Auftragsverarbeiters klar regeln. Ein generischer Vertrag oder ein einseitiges Datenschutz-Merkblatt des Anbieters genügt den gesetzlichen Anforderungen nicht.

Für die Systemauswahl bedeutet das: Prüfen Sie, ob Ihr Zeiterfassungsanbieter einen DSGVO-konformen Auftragsverarbeitungsvertrag standardmäßig bereitstellt, sein Rechenzentrum in Deutschland betreibt und seine Sicherheitsmaßnahmen durch eine anerkannte Zertifizierung belegen kann. Diese drei Kriterien schließen die meisten Compliance-Lücken, die Datenschutzbehörden bei Prüfungen beanstanden. Die HRTime-Lösung erfüllt diese Anforderungen durch deutsches Rechenzentrum, ISO 27001-Zertifizierung und DSGVO-konformen AVV — standardmäßig, ohne Aufpreis.

Aufbewahrungsfristen für Arbeitszeitdaten: Was wirklich gilt

Rechtlich geprüft

Das Thema Aufbewahrungsfristen ist in der Praxis eine häufige Quelle von Datenschutzverstößen — in beide Richtungen. Manche Arbeitgeber löschen Arbeitszeitdaten zu früh und verstoßen damit gegen gesetzliche Aufzeichnungspflichten. Andere bewahren sie deutlich länger auf als erlaubt und verstoßen gegen das DSGVO-Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Beides kann bußgeldbewehrt sein.

Die gesetzliche Mindestaufbewahrungsfrist für Arbeitszeitaufzeichnungen ergibt sich aus § 16 Abs. 2 ArbZG: mindestens zwei Jahre ab dem für die Aufzeichnung maßgeblichen Zeitpunkt. Das gilt für alle Aufzeichnungen, die auf Grundlage des Arbeitszeitgesetzes erstellt werden — Überstunden, Sonn- und Feiertagsarbeit, Nachtarbeit.

Steuerrechtlich können längere Fristen gelten: Nach § 147 Abs. 1 Abgabenordnung besteht für lohnsteuerrelevante Unterlagen eine Aufbewahrungspflicht von zehn Jahren. Da Arbeitszeitdaten in der Regel direkt mit der Lohnabrechnung verknüpft sind, greift diese zehnjährige Frist in vielen Unternehmen automatisch. Prüfen Sie im Einzelfall, ob Ihre Zeiterfassungsdaten lohnsteuerrelevant sind. Wenn ja, gilt die längere Frist. Die DSGVO erlaubt diese verlängerte Speicherung ausdrücklich, solange sie durch eine gesetzliche Pflicht begründet ist (Art. 6 Abs. 1 lit. c DSGVO).

Praktische Empfehlung: Legen Sie in Ihrer Zeiterfassungslösung automatisierte Löschroutinen an. Arbeitszeitdaten ohne lohnsteuerlichen Bezug werden nach zwei Jahren gelöscht, Daten mit Lohnbezug nach zehn Jahren. Nach Ablauf der Fristen müssen Daten unwiderruflich gelöscht oder technisch anonymisiert werden. Dokumentieren Sie diese Routinen schriftlich — bei einer Datenschutzprüfung ist der Nachweis konkreter Löschroutinen ein starkes Compliance-Signal und zeigt, dass die Speicherbegrenzung nicht nur theoretisch beachtet wird.

Auskunfts- und Betroffenenrechte Ihrer Mitarbeiter

Mitarbeiter stellt DSGVO-Auskunftsantrag Zeiterfassungsdaten HR-Abteilung — Art. 15 DSGVO: Mitarbeiter haben jederzeit Auskunftsrecht über ihre Arbeitszeitdaten

Die DSGVO gewährt Betroffenen — also Ihren Mitarbeitern — ein umfangreiches Rechtepaket, das direkten Einfluss auf den Betrieb Ihrer Zeiterfassung hat. Unterschätzen Sie nicht, wie häufig diese Rechte in der Praxis eingefordert werden, insbesondere bei arbeitsrechtlichen Auseinandersetzungen.

Das Auskunftsrecht nach Art. 15 DSGVO ist das praktisch wichtigste: Jeder Mitarbeiter kann jederzeit eine vollständige Übersicht seiner gespeicherten Zeiterfassungsdaten verlangen. Die Antwortfrist beträgt einen Monat, kann auf zwei Monate verlängert werden, wenn die Anfrage komplex ist. Viele Unternehmen sind hierauf nicht vorbereitet — entweder weil das Zeiterfassungssystem keinen einfachen Datenexport bietet oder weil intern unklar ist, wer für Betroffenenrechte zuständig ist. Arbeitsrechtler berichten, dass Art. 15-Anfragen in Kündigungsschutzverfahren zunehmend taktisch eingesetzt werden, um Zeiterfassungsdaten als Beweismittel zu sichern.

Das Berichtigungsrecht nach Art. 16 DSGVO erlaubt Mitarbeitern, falsch erfasste Zeiten korrigieren zu lassen. Gute Zeiterfassungssysteme bieten dokumentierte Korrektur-Workflows, die den gesamten Genehmigungsprozess nachvollziehbar aufzeichnen. Das Recht auf Löschung nach Art. 17 DSGVO ist im Arbeitsverhältnis durch gesetzliche Aufbewahrungsfristen eingeschränkt — solange eine Aufbewahrungspflicht besteht, überwiegt sie das Löschinteresse des Mitarbeiters. Das muss in der Datenschutzinformation transparent erklärt werden, damit keine unerfüllbaren Erwartungen entstehen.

Das Recht auf Datenübertragbarkeit nach Art. 20 DSGVO gilt nur für Verarbeitungen auf Grundlage einer Einwilligung oder eines Vertrags — nicht für Verarbeitungen auf Grundlage einer rechtlichen Verpflichtung. Bei der Zeiterfassung auf Basis von § 26 BDSG oder Art. 6 lit. c DSGVO besteht dieses Recht daher in der Regel nicht. Für die Praxis empfiehlt sich ein schriftlicher interner Prozess für Betroffenenrechte-Anfragen: eine klare Zuständigkeit, eine standardisierte Antwortvorlage und eine technische Exportmöglichkeit aus dem Zeiterfassungssystem.

DSGVO-Zeiterfassung im Homeoffice und Außendienst

Homeoffice und mobiles Arbeiten sind seit der Pandemie Dauerbestandteil vieler Unternehmen. Sie stellen die datenschutzkonforme Zeiterfassung vor besondere Herausforderungen — denn die räumliche Trennung verleitet dazu, weitergehende Überwachungsmaßnahmen einzusetzen. Im Homeoffice gelten grundsätzlich dieselben datenschutzrechtlichen Regeln wie im Büro. Mitarbeiter erfassen ihre Arbeitszeit über dasselbe System, dieselben Rechtsgrundlagen gelten. Was sich nicht ändert: die Anforderungen aus DSGVO und § 26 BDSG.

Was im Homeoffice streng unzulässig ist: weitergehende Überwachungsmaßnahmen, die über die Zeiterfassung hinausgehen. Screenshots, Tastaturprotokollierung, permanente Webcam-Überwachung oder Aktivitäts-Tracking des Rechners verstoßen regelmäßig gegen die DSGVO, gegen § 26 BDSG und — sofern ein Betriebsrat besteht — gegen § 87 BetrVG. Arbeitgeber, die solche Maßnahmen einsetzen, gehen erhebliche rechtliche Risiken ein und gefährden das Vertrauen der Belegschaft nachhaltig.

Hinweis: GPS-Tracking im Außendienst

Standortdaten sind personenbezogene Daten nach der DSGVO. GPS-basierte Zeiterfassung im Außendienst ist nur zulässig, wenn sie zur Erfüllung der Arbeitsaufgabe nachweislich erforderlich ist, transparent kommuniziert wurde, durch eine Betriebsvereinbarung abgedeckt ist und auf den dienstlichen Zeitraum begrenzt bleibt. Permanentes 24/7-Tracking ist DSGVO-widrig.

Bei mobilen Apps ist zusätzlich zu prüfen, ob Arbeitszeitdaten auf privaten Endgeräten (BYOD — Bring Your Own Device) gespeichert werden. Das ist datenschutzrechtlich problematisch und sollte durch klare Regelungen in einer IT-Nutzungsrichtlinie oder Betriebsvereinbarung adressiert werden. Dienstliche Endgeräte oder Web-Apps ohne lokalen Datenspeicher sind die datenschutzrechtlich sauberere Lösung — sie verhindern, dass Arbeitszeitdaten unkontrolliert auf privaten Geräten verbleiben, und erleichtern die Durchsetzung der Löschroutinen nach Ablauf der Aufbewahrungsfristen.

Biometrische Zeiterfassung: Sonderregeln nach Art. 9 DSGVO

Biometrische Zeiterfassung Fingerabdruck DSGVO Art. 9 Sonderregeln Arbeitgeber — Art. 9 DSGVO: Biometrische Zeiterfassung unterliegt besonderen Schutzanforderungen

Art. 9 DSGVO

Fingerabdruckscanner, Handvenenscanner und Gesichtserkennung gelten als biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person — und fallen damit unter Art. 9 DSGVO. Diese sogenannten besonderen Kategorien personenbezogener Daten genießen einen erhöhten gesetzlichen Schutz. Ihre Verarbeitung ist grundsätzlich verboten, mit engen, abschließend geregelten Ausnahmen. Wer biometrische Zeiterfassung einsetzt, bewegt sich in einem der anspruchsvollsten Bereiche des Datenschutzrechts.

Für die betriebliche Zeiterfassung kommen zwei Ausnahmen in Betracht. Erstens die ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO in Verbindung mit § 26 Abs. 3 BDSG. Diese Einwilligung muss freiwillig sein — was im Arbeitsverhältnis strukturell schwierig zu belegen ist, da Arbeitnehmer sich gegenüber dem Arbeitgeber in einer Abhängigkeitsbeziehung befinden. Die Aufsichtsbehörden sind bei Einwilligungen im Beschäftigungskontext traditionell skeptisch. Zweitens die Betriebsvereinbarung nach § 26 Abs. 3 Satz 2 BDSG, sofern sie angemessene Schutzmaßnahmen enthält. Dieser Weg ist im deutschen Arbeitsrecht der praxistauglichere.

Hinzu kommt: Bei biometrischer Zeiterfassung ist nach Art. 35 DSGVO zwingend eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Die Datenschutzkonferenz (DSK) stuft biometrische Verarbeitung als Verarbeitung mit voraussichtlich hohem Risiko ein. Die DSFA muss schriftlich dokumentiert, mit dem betrieblichen Datenschutzbeauftragten abgestimmt und regelmäßig überprüft werden. Sie ist keine einmalige Formalität, sondern ein lebendiges Dokument.

Praxisempfehlung: Prüfen Sie, ob der Sicherheitsgewinn biometrischer Systeme den erheblichen Compliance-Aufwand rechtfertigt. In den meisten betrieblichen Szenarien — Büro, Verwaltung, klassischer Mittelstand — bieten chipbasierte Karten, NFC oder PIN-Systeme eine ausreichend sichere Alternative, ohne die Art. 9-Hürde zu nehmen. Ausnahmen bilden Hochsicherheitsbereiche oder Branchen mit hohem Manipulationsrisiko, wo die Abwägung anders ausfallen kann. Vergleiche zu verschiedenen Zeiterfassungssystemen finden Sie in unserem Artikel zum Arbeitszeitgesetz 2026.

Typische Datenschutzverstöße bei der Zeiterfassung und wie Sie sie vermeiden

Datenschutzbehörden haben in den vergangenen Jahren eine wiederkehrende Gruppe von Verstößen bei der Arbeitszeiterfassung dokumentiert. Wer diese kennt, kann die eigene Compliance gezielt prüfen — und vermeidet die kostspieligsten Fehler.

Fehler 1 — Keine oder unvollständige Datenschutzinformation: Viele Unternehmen informieren ihre Mitarbeiter nicht oder nur pauschal über die Zeiterfassung. Art. 13 DSGVO fordert konkrete Angaben zu Zweck, Rechtsgrundlage, Speicherdauer, Empfängern und Betroffenenrechten. Eine allgemeine Datenschutzerklärung auf der Unternehmenswebsite ist kein Ersatz für eine arbeitnehmerspezifische Information. Abhilfe: Integrieren Sie eine spezifische Datenschutzinformation zur Zeiterfassung in den Arbeitsvertrag oder das strukturierte Onboarding-Paket.

Fehler 2 — Fehlende Dokumentation der Rechtsgrundlage: Der Verantwortliche muss die Einhaltung der DSGVO-Grundsätze nachweisen können (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO). Ohne schriftlich dokumentierte Rechtsgrundlage und ohne aktuelles Verarbeitungsverzeichnis nach Art. 30 DSGVO droht ein Bußgeld — unabhängig davon, ob tatsächlich ein inhaltlicher Datenschutzverstoß vorliegt. Die formale Compliance wird dabei genauso bewertet wie die inhaltliche.

Fehler 3 — Fehlender Auftragsverarbeitungsvertrag: Wenn ein externer Zeiterfassungsanbieter als technischer Dienstleister die Daten verarbeitet, muss ein AVV nach Art. 28 DSGVO abgeschlossen sein. Das vergessen erstaunlich viele Unternehmen bei der Systemeinführung. Ohne AVV ist die gesamte Datenverarbeitung formell rechtswidrig — auch wenn der Anbieter tatsächlich sicher arbeitet.

Fehler 4 — Betriebsrat übergangen: Verstöße gegen § 87 BetrVG können — unabhängig von der DSGVO — zur Untersagung des Systembetriebs führen. Wenn der Betriebsrat nach Inbetriebnahme des Systems erfährt, dass er nicht beteiligt wurde, hat er das Recht, den Weiterbetrieb zu stoppen. Das betrifft auch Systeme, die seit Jahren laufen, aber nie formal mitbestimmt wurden.

Fehler 5 — Keine Löschroutinen implementiert: Arbeitszeitdaten, die über die gesetzlichen Fristen hinaus gespeichert werden, verletzen Art. 5 Abs. 1 lit. e DSGVO. Umgekehrt: Wer vor Ablauf der gesetzlichen Mindestfristen löscht, verstößt gegen § 16 ArbZG. Der Schlüssel ist ein dokumentiertes, möglichst automatisiertes Löschkonzept, das beide Anforderungen gleichzeitig erfüllt.

Wer DSGVO Zeiterfassung Datenschutz Arbeitgeber konsequent umsetzt, investiert die meiste Energie in die Systemauswahl und die initiale Konfiguration. Ein datenschutzkonform entwickeltes System mit deutschem Serverstandort, ISO 27001-Zertifizierung, standardmäßig bereitgestelltem AVV und integrierten Löschroutinen nimmt Ihnen den Großteil der Compliance-Arbeit ab — und schafft die Dokumentationsgrundlage, die Prüfbehörden und Arbeitsgerichte im Streitfall erwarten. Welche technischen und organisatorischen Schutzmaßnahmen HRTime konkret umsetzt, zeigt die Seite zur sicheren Cloud-Zeiterfassung Made in Germany.

Fazit: DSGVO-konforme Zeiterfassung als strategische Unternehmensaufgabe

DSGVO Zeiterfassung Datenschutz Arbeitgeber — diese Verbindung ist für viele Unternehmen noch ungewohnt, aber unvermeidlich. Die Zeiterfassungspflicht aus § 3 ArbSchG und § 16 ArbZG trifft auf das Datenschutzrecht der DSGVO. Das Ergebnis: Arbeitgeber müssen beides gleichzeitig erfüllen. Wer nur eine der beiden Anforderungen beachtet, riskiert Bußgelder, erzwungene Systemabschaltungen oder arbeitsrechtliche Auseinandersetzungen.

Die Kernpflichten sind überschaubar und systematisch abarbeitbar: Rechtsgrundlage nach § 26 BDSG oder Art. 6 Abs. 1 lit. c DSGVO dokumentieren, Datensparsamkeit einhalten, Mitarbeiter transparent informieren, Betriebsrat nach § 87 BetrVG einbinden, technische Schutzmaßnahmen nach Art. 32 DSGVO implementieren und Aufbewahrungsfristen mit automatisierten Löschroutinen absichern. Wer diese Punkte systematisch erfüllt — idealerweise mit einem Zeiterfassungsanbieter, der DSGVO-Konformität von Grund auf in sein Produkt integriert hat und ein deutsches Rechenzentrum mit ISO 27001-Zertifizierung bietet —, ist rechtlich auf der sicheren Seite. Die Alternative ist deutlich teurer.

FAQ

Häufig gestellte Fragen zu DSGVO Zeiterfassung Datenschutz Arbeitgeber

Brauche ich eine Einwilligung meiner Mitarbeiter für die Zeiterfassung nach DSGVO?

Nein. Die Zeiterfassung stützt sich auf § 26 Abs. 1 BDSG (Datenverarbeitung für Beschäftigungszwecke) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Aufzeichnungspflicht aus § 16 ArbZG). Eine gesonderte Einwilligung ist bei diesen Rechtsgrundlagen nicht erforderlich. Sie müssen Ihre Mitarbeiter jedoch gemäß Art. 13 DSGVO transparent über die Verarbeitung informieren.

Welche Rechtsgrundlage gilt für die DSGVO-konforme Zeiterfassung?

Zwei Normen kommen in Betracht: § 26 Abs. 1 BDSG für die allgemeine Datenverarbeitung im Beschäftigungsverhältnis und Art. 6 Abs. 1 lit. c DSGVO für die Erfüllung der gesetzlichen Aufzeichnungspflicht aus § 16 ArbZG und § 3 ArbSchG. In der Praxis empfiehlt sich, beide Rechtsgrundlagen in der Datenschutzinformation zu nennen.

Welche Mitarbeiterdaten darf ein Zeiterfassungssystem speichern?

Erlaubt sind Basisdaten zur Arbeitszeit: Beginn, Ende, Pausen, Gesamtdauer sowie Projektzeiten (wenn vertraglich vereinbart). Nicht ohne weiteres erlaubt sind GPS-Koordinaten im Büro-Umfeld, biometrische Daten, Leistungsüberwachungsdaten und Gesundheitsinformationen. Das Datensparsamkeitsprinzip (Art. 5 Abs. 1 lit. c DSGVO) verpflichtet zur Beschränkung auf das tatsächlich Erforderliche.

Muss der Betriebsrat der Einführung eines Zeiterfassungssystems zustimmen?

Ja, in Unternehmen mit Betriebsrat gilt das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Da digitale Zeiterfassungssysteme technisch zur Überwachung von Verhalten und Leistung geeignet sind, besteht eine Mitbestimmungspflicht — unabhängig davon, ob Überwachung tatsächlich stattfindet. Ohne Betriebsvereinbarung oder Einigungsstellenspruch darf das System nicht eingeführt werden.

Wie lange müssen Arbeitszeitdaten aufbewahrt werden?

Die gesetzliche Mindestfrist beträgt nach § 16 Abs. 2 ArbZG zwei Jahre. Für lohnsteuerrelevante Unterlagen gilt nach § 147 Abs. 1 Abgabenordnung eine Frist von zehn Jahren. Da Arbeitszeitdaten häufig lohnrelevant sind, empfiehlt sich in der Praxis das zehnjährige Aufbewahrungsregime. Nach Ablauf der Fristen müssen Daten gelöscht oder anonymisiert werden.

Können Mitarbeiter Auskunft über ihre Zeiterfassungsdaten verlangen?

Ja. Art. 15 DSGVO gibt jedem Mitarbeiter das Recht, jederzeit eine vollständige Übersicht seiner gespeicherten Arbeitszeitdaten zu verlangen. Die Antwortfrist beträgt einen Monat (verlängerbar auf zwei Monate bei komplexen Anfragen). Arbeitgeber sollten dafür einen definierten internen Prozess und eine technische Exportmöglichkeit aus dem Zeiterfassungssystem bereithalten.

Muss ich einen Auftragsverarbeitungsvertrag mit meinem Zeiterfassungsanbieter abschließen?

Ja, wenn der Anbieter als technischer Dienstleister Arbeitszeitdaten in Ihrem Auftrag verarbeitet. Art. 28 DSGVO verpflichtet zum Abschluss eines Auftragsverarbeitungsvertrags (AVV). Ohne AVV ist die Datenverarbeitung formell rechtswidrig, auch wenn der Anbieter sicher arbeitet. Prüfen Sie vor Vertragsschluss, ob Ihr Anbieter einen DSGVO-konformen AVV bereitstellt.

Welche Strafen drohen bei DSGVO-Verstößen in der Zeiterfassung?

Nach Art. 83 Abs. 5 DSGVO können Bußgelder von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes verhängt werden — je nach Schwere des Verstoßes. Häufige bußgeldbewehrte Verstöße sind fehlende Rechtsgrundlage, fehlender AVV, keine Datenschutzinformation und übermäßige Datenspeicherung. Hinzu können zivilrechtliche Schadensersatzansprüche der Mitarbeiter nach Art. 82 DSGVO kommen.

Ist GPS-Tracking bei der Zeiterfassung im Außendienst erlaubt?

GPS-Tracking ist nur unter engen Bedingungen zulässig: Es muss zur Erfüllung der Arbeitsaufgabe nachweislich erforderlich sein, transparent kommuniziert werden, durch eine Betriebsvereinbarung abgedeckt sein und auf den dienstlichen Zeitraum begrenzt bleiben. Permanentes 24/7-Tracking ist DSGVO-widrig. Standortdaten sind personenbezogene Daten und unterliegen dem Datensparsamkeitsprinzip.

Ist ein Fingerabdruckscanner als Zeiterfassungssystem DSGVO-konform?

Fingerabdruckdaten sind biometrische Daten nach Art. 9 DSGVO und unterliegen einem grundsätzlichen Verarbeitungsverbot mit engen Ausnahmen. Im Betrieb ist biometrische Zeiterfassung nur auf Basis einer freiwilligen ausdrücklichen Einwilligung (§ 26 Abs. 3 BDSG) oder einer Betriebsvereinbarung zulässig. Zusätzlich ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zwingend erforderlich.

Was muss eine Datenschutzinformation zur Zeiterfassung enthalten?

Gemäß Art. 13 DSGVO sind mindestens anzugeben: Name und Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten, Zweck und Rechtsgrundlage der Verarbeitung, Empfänger der Daten (z.B. Lohnbuchhaltung), Aufbewahrungsdauer sowie Betroffenenrechte (Auskunft, Berichtigung, Löschung, Widerspruch) und Beschwerderecht bei der Datenschutzbehörde. Diese Information muss den Mitarbeitern vor Beginn der Zeiterfassung in verständlicher Form zugänglich gemacht werden — eine allgemeine Datenschutzerklärung auf der Unternehmenswebsite reicht dafür nicht aus.

Darf ich die Zeiterfassung zur Leistungskontrolle nutzen?

Nein, nicht ohne weiteres. Zeiterfassung ist ausschließlich zur Dokumentation der Arbeitszeit gemäß ArbZG zulässig. Eine Nutzung für Leistungsbeurteilungen oder Verhaltensüberwachung erfordert eine eigene Rechtsgrundlage, eine separate Datenschutzinformation und — bei Vorhandensein eines Betriebsrats — eine Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG. Ohne diese Grundlagen ist die Nutzung für Leistungskontrollen unzulässig.

Gelten für die Zeiterfassung im Homeoffice andere DSGVO-Regeln?

Nein. Im Homeoffice gelten dieselben datenschutzrechtlichen Regeln wie im Büro. Was zusätzlich verboten ist: weitergehende Überwachungsmaßnahmen wie Screenshots, Tastaturprotokolle oder permanente Kameraüberwachung. Diese verstoßen gegen DSGVO und § 26 BDSG. Arbeitgeber dürfen im Homeoffice nicht mehr überwachen als im Büro — die örtliche Flexibilität der Mitarbeiter darf nicht zu einer Ausdehnung der Kontrolle führen.

Wann ist eine Datenschutz-Folgenabschätzung (DSFA) bei der Zeiterfassung nötig?

Eine DSFA nach Art. 35 DSGVO ist zwingend erforderlich bei biometrischer Zeiterfassung (Fingerabdruck, Gesichtserkennung) und bei Systemen mit umfangreichem GPS-Tracking. Bei Standard-Zeiterfassungssystemen (chipbasiert, PIN, App ohne Standorterfassung) ist eine DSFA in der Regel nicht zwingend, aber im Zweifelsfall empfehlenswert. Die Datenschutzkonferenz hat Listen risikoreicher Verarbeitungen veröffentlicht.

Wie erkenne ich einen DSGVO-konformen Zeiterfassungsanbieter?

Prüfen Sie vier Kriterien: Erstens Serverstandort in Deutschland oder der EU (kein Drittlandtransfer). Zweitens Sicherheitszertifizierung (ISO 27001 oder vergleichbar). Drittens standardmäßig bereitgestellter AVV nach Art. 28 DSGVO mit klarer Weisungsgebundenheit. Viertens Unterstützung bei Betroffenenrechten — also technische Möglichkeit zum Datenexport und zur Löschung. HRTime erfüllt alle vier Kriterien.

Marek Rosiek

Head of Customer Success & Redakteur

Marek Rosiek berät als Head of Customer Success bei HRTime seit 15 Jahren Unternehmen zu datenschutzkonformer HR-Verwaltung. Sein Schwerpunkt: DSGVO-sichere Zeiterfassungssysteme.

DSGVO Zeiterfassung Datenschutz Arbeitgeber: Rechtskonform 2026

DSGVO Zeiterfassung Datenschutz Arbeitgeber: Was Sie 2026 wissen müssen

DSGVO Zeiterfassung Datenschutz Arbeitgeber – Rechtsgrundlage § 26 BDSG

Welche Mitarbeiterdaten darf die Zeiterfassung speichern?

§ 87 BetrVG: Mitbestimmung des Betriebsrats bei der Zeiterfassung

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Aufbewahrungsfristen für Arbeitszeitdaten: Was wirklich gilt

Auskunfts- und Betroffenenrechte Ihrer Mitarbeiter

DSGVO-Zeiterfassung im Homeoffice und Außendienst

Biometrische Zeiterfassung: Sonderregeln nach Art. 9 DSGVO

Typische Datenschutzverstöße bei der Zeiterfassung und wie Sie sie vermeiden

Fazit: DSGVO-konforme Zeiterfassung als strategische Unternehmensaufgabe

Häufig gestellte Fragen zu DSGVO Zeiterfassung Datenschutz Arbeitgeber

Jetzt rechtssicher umstellen

DSGVO Zeiterfassung Datenschutz Arbeitgeber: Was Sie 2026 wissen müssen

DSGVO Zeiterfassung Datenschutz Arbeitgeber – Rechtsgrundlage § 26 BDSG

Welche Mitarbeiterdaten darf die Zeiterfassung speichern?

§ 87 BetrVG: Mitbestimmung des Betriebsrats bei der Zeiterfassung

Technische und organisatorische Maßnahmen nach Art. 32 DSGVO

Aufbewahrungsfristen für Arbeitszeitdaten: Was wirklich gilt

Auskunfts- und Betroffenenrechte Ihrer Mitarbeiter

DSGVO-Zeiterfassung im Homeoffice und Außendienst

Biometrische Zeiterfassung: Sonderregeln nach Art. 9 DSGVO

Typische Datenschutzverstöße bei der Zeiterfassung und wie Sie sie vermeiden

Fazit: DSGVO-konforme Zeiterfassung als strategische Unternehmensaufgabe

Häufig gestellte Fragen zu DSGVO Zeiterfassung Datenschutz Arbeitgeber

Das könnte Sie auch interessieren

Jetzt rechtssicher umstellen