Zeiterfassungssysteme verarbeiten personenbezogene Daten und unterliegen daher den Anforderungen des Datenschutzrechts.
Rechtsgrundlage: Die Verarbeitung von Arbeitszeitdaten ist für die Durchführung des Beschäftigungsverhältnisses erforderlich (Paragraph 26 Abs. 1 S. 1 BDSG) - insbesondere für die Entgeltabrechnung und die Einhaltung des Arbeitszeitgesetzes. Seit der BAG-Entscheidung vom 13.09.2022 (1 ABR 22/21) sind Arbeitgeber zur Arbeitszeiterfassung verpflichtet.
Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Es dürfen nur die für die Zeiterfassung notwendigen Daten erhoben werden: Beginn und Ende der Arbeitszeit, Pausen. Standortdaten, Bildaufnahmen oder die Erfassung von Tätigkeitsinhalten gehen über das Erforderliche hinaus und bedürften einer gesonderten Rechtfertigung.
Biometrische Zeiterfassung: Systeme, die biometrische Daten verwenden (Fingerabdruck, Iris-Scan, Gesichtserkennung), verarbeiten besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Dies ist grundsätzlich verboten und nur mit ausdrücklicher Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) oder bei zwingender Erforderlichkeit zuläßig. Das DSK-Positionspapier Biometrische Analyse (2019) stellt klar, dass für die Zutrittskontrolle oder Zeiterfassung in der Regel mildere Mittel (Chipkarte, PIN) ausreichen, sodass biometrische Verfahren nicht erforderlich und damit unverhältnismäßig sind. Die Einwilligung ist im Beschäftigungsverhältnis wegen des Abhängigkeitsverhältnisses zudem problematisch.
Privacy by Design (Art. 25 DSGVO): Das Zeiterfassungssystem sollte datenschutzfreundlich voreingestellt sein: keine Standorterfassung in der Grundeinstellung, keine automatische Auswertung von Leistungsdaten, Zugriffsbeschränkungen auf Vorgesetzte und Personalabteilung.
Betriebsrat: Zeiterfassungssysteme unterliegen der Mitbestimmung (Paragraph 87 Abs. 1 Nr. 6 BetrVG).