Aufzeichnungen der Arbeitszeit fallen unter den Begriff der personenbezogenen Daten i. S. d. Art. 4 Nr. 1 DSGVO. Darunter sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, was bei Arbeitszeiten, die einem konkreten Arbeitnehmer zugeordnet sind, der Fall ist.
Datenschutzrechtlicher Erlaubnistatbestand für die Verarbeitung von personenbezogenen Daten ist hierbei Art. 6 Abs. 1 Satz 1 Buchst. c DSGVO und § 26 Abs. 1 BDSG. Gemäß der DSGVO muss die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich sein; diese rechtliche Verpflichtung liegt in der Verpflichtung des Arbeitgebers zur Erfassung der Arbeitszeit seiner Arbeitnehmer. Außerdem ist die Arbeitszeiterfassung zur Durchführung des Beschäftigungsverhältnisses erforderlich, sodass auch § 26 Abs. 1 BDSG einschlägig ist. Eine datenschutzrechtliche Rechtsgrundlage für die Erfassung der Arbeitszeit besteht daher ohne Weiteres.
Bei der Einrichtung eines Zeiterfassungssystems ist stets der datenschutzrechtliche Verhältnismäßigkeitsgrundsatz aus Art. 6 Abs. 3 Satz 4 DSGVO zu beachten. Unzulässig ist daher die Einführung von Systemen, bei denen der Arbeitgeber über Tools, Algorithmen, Apps, automatisierte Login- oder Keylogger-Protokolle unter Zugriff auf biometrische Daten oder sogar mittels Scans der Iris, feststellen kann, ob und wann der Arbeitnehmer für ihn aktiv arbeitet.[1] Biometrische Daten sind als sensible Daten einzuordnen, für deren Verarbeitung besondere Voraussetzungen erfüllt sein müssen.[2] Da ausreichend viele Formen der Zeiterfassung existieren, die ohne Verarbeitung biometrischer Daten funktionieren (z. B. händische Aufzeichnung, Stechuhren, Magnetkarten oder Transponder), sind diese als schonenderes Mittel zur Zeiterfassung vorzugswürdig.
Sobald die Arbeitszeiten der Arbeitnehmer erfasst werden, stellt sich in datenschutzrechtlicher Hinsicht weiter die Frage, für welchen Zeitraum die erfassten Daten gespeichert werden dürfen. Nach Art. 5 Abs. 1 Buchst. e, Art. 17 Abs. 1 Buchst. a DSGVO sind personenbezogene Daten unverzüglich zu löschen, sofern sie für die Zwecke, für die sie erhoben und auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind. Wann ein Zweckwegfall i. S. d. DSGVO gegeben ist, ist eine Frage des Einzelfalls. Grundsätzlich sollte jedenfalls die in § 16 Abs. 2 Satz 2 ArbZG für die Überstundennachweise anwendbare Aufbewahrungsfrist von mindestens 2 Jahren eingehalten werden. Nicht geklärt ist, ob der Arbeitgeber die Nachweise zur Verteidigung gegen geltend gemachte Ansprüche im Zusammenhang mit der Arbeitszeit (z. B. Überstundenabgeltung) auch für die Dauer der regelmäßigen Verjährungsfrist von 3 Jahren aufbewahren darf.[3]
Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen