DSGVO-konforme Zeiterfassung: Worauf Unternehmen achten müssen

Warum Datenschutz bei der Zeiterfassung wichtig ist

Arbeitszeiten sind personenbezogene Daten. Sie verraten, wann jemand gearbeitet hat, wie lange und gegebenenfalls woran. Damit unterliegt jede Zeiterfassungslösung den Anforderungen der Datenschutz-Grundverordnung (DSGVO).

Für Unternehmen bedeutet das: Die Wahl des Zeiterfassungstools ist keine rein technische Entscheidung. Sie ist auch eine datenschutzrechtliche. Wer hier falsch entscheidet, riskiert Bußgelder, Abmahnungen und vor allem das Vertrauen der Mitarbeitenden.

Die Rechtsgrundlage: Warum dürfen Arbeitgeber Arbeitszeiten erfassen?

Die DSGVO verbietet die Verarbeitung personenbezogener Daten nicht grundsätzlich — sie regelt nur die Bedingungen. Für die Arbeitszeiterfassung kommen zwei Rechtsgrundlagen in Frage:

• Art. 6 Abs. 1 lit. c DSGVO — Erfüllung einer rechtlichen Verpflichtung. Seit dem EuGH-Urteil und dem BAG-Beschluss sind Arbeitgeber gesetzlich zur Arbeitszeiterfassung verpflichtet.
• Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse. Die korrekte Abrechnung von Arbeitszeiten und Überstunden ist ein berechtigtes Interesse des Arbeitgebers.

Die Einwilligung der Mitarbeitenden ist für die reine Arbeitszeiterfassung nicht erforderlich, da die gesetzliche Verpflichtung ausreicht.

Grundsätze der DSGVO-konformen Zeiterfassung

Zweckbindung

Arbeitszeitdaten dürfen nur für den definierten Zweck verwendet werden: Dokumentation der Arbeitszeit, Einhaltung gesetzlicher Vorgaben, Gehaltsabrechnung. Eine Nutzung zur Leistungsbewertung oder Verhaltenskontrolle ist ohne separate Rechtsgrundlage nicht zulässig.

Datenminimierung

Es dürfen nur die Daten erfasst werden, die für den Zweck notwendig sind. Beginn, Ende und Dauer der Arbeitszeit sowie Pausen — ja. GPS-Tracking, Tastaturüberwachung oder Screenshots — nein.

Speicherbegrenzung

Arbeitszeitdaten müssen nach Ablauf der gesetzlichen Aufbewahrungspflicht gelöscht werden. In Deutschland beträgt diese Frist in der Regel zwei Jahre.

Transparenz

Mitarbeitende müssen wissen, welche Daten erfasst werden, zu welchem Zweck und wie lange sie gespeichert werden. Eine Datenschutzerklärung für die Zeiterfassungslösung ist Pflicht.

Technische Anforderungen an das Zeiterfassungstool

Neben den rechtlichen Grundsätzen gibt es technische Kriterien, die eine DSGVO-konforme Lösung erfüllen muss:

• Datenverarbeitung in der EU: Alle Daten müssen auf Servern innerhalb der EU gespeichert und verarbeitet werden. Drittland-Transfers (z. B. in die USA) sind nur unter strengen Auflagen zulässig.
• Auftragsverarbeitungsvertrag (AVV): Mit dem Anbieter der Zeiterfassungslösung muss ein AVV gemäß Art. 28 DSGVO geschlossen werden.
• Zugriffskontrollen: Nur berechtigte Personen dürfen auf Zeitdaten zugreifen. Rollenbasierte Berechtigungen sind Pflicht.
• Verschlüsselung: Daten müssen sowohl bei der Übertragung (TLS) als auch bei der Speicherung (Encryption at Rest) verschlüsselt sein.
• Löschkonzept: Das System muss die automatische Löschung von Daten nach Ablauf der Aufbewahrungsfrist unterstützen.

Der Betriebsrat und Zeiterfassung

In Unternehmen mit Betriebsrat hat dieser ein Mitbestimmungsrecht bei der Einführung und Ausgestaltung von Zeiterfassungssystemen (§ 87 Abs. 1 Nr. 6 BetrVG). Das bedeutet:

• Der Betriebsrat muss vor der Einführung informiert und einbezogen werden
• Eine Betriebsvereinbarung zur Zeiterfassung ist empfehlenswert
• Der Betriebsrat kann Einsicht in die Konfiguration und Zugriffsrechte verlangen

timeghost Time Tracking wurde bereits von mehreren Betriebsräten geprüft und genehmigt. Die transparente Datenverarbeitung und die klaren Zugriffsrechte erleichtern die Zusammenarbeit mit dem Betriebsrat erheblich.

Checkliste: Ist Ihre Zeiterfassung DSGVO-konform?

• Rechtsgrundlage für die Datenverarbeitung dokumentiert
• Zweck der Datenerhebung klar definiert und kommuniziert
• Nur notwendige Daten werden erfasst (keine GPS-Überwachung o. Ä.)
• Datenverarbeitung erfolgt ausschließlich in der EU
• Auftragsverarbeitungsvertrag mit dem Anbieter geschlossen
• Rollenbasierte Zugriffskontrollen eingerichtet
• Löschfristen definiert und technisch umgesetzt
• Datenschutzerklärung für Mitarbeitende erstellt
• Betriebsrat einbezogen (falls vorhanden)

Fazit: DSGVO-Konformität ist kein Hindernis

DSGVO-konforme Zeiterfassung ist kein bürokratisches Monster. Mit der richtigen Lösung sind die meisten Anforderungen automatisch erfüllt. Wichtig ist, dass Unternehmen bei der Auswahl des Tools auf EU-Hosting, transparente Datenverarbeitung und klare Zugriffsrechte achten — dann steht einer gesetzeskonformen Zeiterfassung nichts im Weg.

Quellen und weiterführende Informationen

• Datenschutz-Grundverordnung (DSGVO), insbesondere Art. 6, 28, 32
• Bundesdatenschutzgesetz (BDSG)
• Betriebsverfassungsgesetz (BetrVG), § 87 Abs. 1 Nr. 6
• EuGH, Urteil vom 14.05.2019, Rechtssache C-55/18
• DSGVO-konforme Zeiterfassung mit timeghost Time Tracking
• Preise und Funktionsübersicht

Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine verbindliche rechtliche Einschätzung wenden Sie sich bitte an einen spezialisierten Rechtsanwalt. Die Inhalte wurden mit Unterstützung von KI erstellt und redaktionell geprüft. Stand: April 2026.