Crewly Logo
Recht & Compliance

Zeiterfassung & Datenschutz: DSGVO-Leitfaden für Arbeitgeber

März 202611 Min. LesezeitCrewly Team

Die Zeiterfassungspflicht stellt Arbeitgeber vor eine Herausforderung, die auf den ersten Blick widersprüchlich erscheint: Einerseits müssen Sie die Arbeitszeiten Ihrer Beschäftigten lückenlos erfassen. Andererseits verlangt die DSGVO, dass Sie personenbezogene Daten so sparsam wie möglich erheben. Wie bringen Sie beides in Einklang? Dieser Leitfaden gibt Ihnen klare Antworten und praxistaugliche Handlungsempfehlungen.

Datenschutz bei der Zeiterfassung ist kein Hexenwerk — aber es erfordert Sorgfalt. Wer die Grundprinzipien versteht und die richtigen Maßnahmen ergreift, schützt sich vor Bußgeldern und schafft gleichzeitig Vertrauen bei seinen Mitarbeitern.

Rechtsgrundlagen: Warum Zeiterfassung DSGVO-konform ist

Die gute Nachricht zuerst: Die Erfassung von Arbeitszeiten ist datenschutzrechtlich grundsätzlich zulässig. Die Frage ist nicht ob, sondern wie Sie dabei vorgehen.

Art. 6 DSGVO: Die richtige Rechtsgrundlage wählen

Für die Verarbeitung von Arbeitszeitdaten kommen mehrere Rechtsgrundlagen der DSGVO in Betracht:

  • Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung: Dies ist die primäre Rechtsgrundlage. Arbeitgeber sind nach § 3 Abs. 2 Nr. 1 ArbSchG (in der Auslegung durch das BAG-Urteil Az. 1 ABR 22/21) gesetzlich verpflichtet, die Arbeitszeiten zu erfassen. Diese gesetzliche Pflicht legitimiert die Datenverarbeitung.
  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung: Die Arbeitszeiterfassung dient auch der Erfüllung des Arbeitsvertrags (korrekte Lohnberechnung, Urlaubsansprüche, Überstundenabgeltung).
  • Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse: Für zusätzliche Funktionen wie GPS-Tracking kann das berechtigte Interesse des Arbeitgebers als Rechtsgrundlage herangezogen werden, sofern eine Interessenabwägung durchgeführt wird.

Wichtig: Keine Einwilligung erforderlich

Die Zeiterfassung an sich bedarf keiner Einwilligung der Mitarbeiter (Art. 6 Abs. 1 lit. a DSGVO), da sie auf einer gesetzlichen Verpflichtung basiert. Eine Einwilligung wäre im Arbeitsverhältnis ohnehin problematisch, da sie aufgrund des Abhängigkeitsverhältnisses nicht immer als freiwillig angesehen werden kann. Für besondere Funktionen wie GPS-Tracking kann jedoch eine zusätzliche Vereinbarung sinnvoll sein.

§ 26 BDSG: Beschäftigtendatenschutz

Neben der DSGVO ist § 26 des Bundesdatenschutzgesetzes (BDSG) relevant. Danach dürfen personenbezogene Daten von Beschäftigten verarbeitet werden, wenn dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Die Arbeitszeiterfassung fällt eindeutig darunter.

Speicherfristen: Wie lange dürfen Daten aufbewahrt werden?

Die DSGVO verlangt in Art. 5 Abs. 1 lit. e eine Speicherbegrenzung: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Gleichzeitig gibt es gesetzliche Mindestaufbewahrungsfristen, die Sie einhalten müssen.

Gesetzliche Aufbewahrungsfristen

  • § 16 Abs. 2 ArbZG: Arbeitszeitaufzeichnungen müssen mindestens 2 Jahre aufbewahrt werden
  • § 17 Abs. 2 MiLoG: Aufzeichnungen nach dem Mindestlohngesetz sind ebenfalls 2 Jahre aufzubewahren
  • § 147 AO / § 257 HGB: Für steuerlich relevante Unterlagen (Lohnabrechnungen, Stundenkonten) gelten Aufbewahrungsfristen von 6 bzw. 10 Jahren
  • Tarifverträge: Einzelne Tarifverträge können abweichende Fristen vorsehen

Löschkonzept entwickeln

Entwickeln Sie ein dokumentiertes Löschkonzept, das festlegt, wann welche Daten gelöscht werden. Rohe Zeiterfassungsdaten (Stempelzeiten, GPS-Daten) können nach Ablauf der 2-Jahres-Frist gelöscht werden, sofern sie nicht für steuerliche Zwecke benötigt werden. Aggregierte Daten (monatliche Stundenkonten) müssen ggf. länger aufbewahrt werden.

Löschkonzept in der Praxis

Ein datenschutzkonformes Löschkonzept für Zeiterfassungsdaten sollte folgende Stufen umfassen:

  • Nach 2 Jahren: Löschung von detaillierten Stempeldaten, GPS-Koordinaten und Standortinformationen
  • Nach 6 Jahren: Löschung von aggregierten Monatsübersichten, sofern nicht steuerlich relevant
  • Nach 10 Jahren: Löschung aller verbleibenden Daten (steuerliche Aufbewahrungsfrist)
  • Bei Ausscheiden eines Mitarbeiters: Prüfung, welche Daten noch aufbewahrt werden müssen, Löschung aller übrigen Daten

Mitarbeiterrechte: Auskunft, Berichtigung und Löschung

Die DSGVO gibt Ihren Mitarbeitern umfangreiche Rechte in Bezug auf ihre personenbezogenen Daten. Als Arbeitgeber müssen Sie diese Rechte kennen und sicherstellen, dass Sie sie innerhalb der gesetzlichen Fristen erfüllen können.

Auskunftsrecht (Art. 15 DSGVO)

Jeder Mitarbeiter hat das Recht, Auskunft über die zu seiner Person gespeicherten Zeiterfassungsdaten zu verlangen. Sie müssen innerhalb eines Monats eine vollständige Kopie aller gespeicherten Daten bereitstellen, einschließlich:

  • Alle gespeicherten Stempelzeiten und Arbeitszeitdaten
  • GPS-Standortdaten (falls erfasst)
  • Verarbeitungszwecke und Rechtsgrundlage
  • Kategorien der Empfänger (z. B. Steuerberater, Lohnbüro)
  • Geplante Speicherdauer
  • Information über die Herkunft der Daten

Recht auf Berichtigung (Art. 16 DSGVO)

Mitarbeiter können die Berichtigung unrichtiger Zeiterfassungsdaten verlangen. In der Praxis kommt das vor, wenn Stempelzeiten fehlerhaft erfasst wurden — etwa wegen eines technischen Problems oder eines vergessenen Ausstempelns. Ihr System sollte eine nachvollziehbare Korrekturmöglichkeit mit Änderungsprotokoll bieten.

Recht auf Löschung (Art. 17 DSGVO)

Das Recht auf Löschung ist bei Zeiterfassungsdaten eingeschränkt, da gesetzliche Aufbewahrungspflichten bestehen. Solange die Daten für die Erfüllung einer rechtlichen Verpflichtung benötigt werden, greift das Löschrecht nicht. Nach Ablauf der Aufbewahrungsfristen müssen die Daten jedoch proaktiv gelöscht werden.

Informationspflichten nicht vergessen

Nach Art. 13 DSGVO müssen Sie Ihre Mitarbeiter bei der Einführung einer Zeiterfassung umfassend informieren. Erstellen Sie ein Informationsblatt, das folgende Punkte abdeckt: Verantwortliche Stelle, Datenschutzbeauftragter, Zweck der Verarbeitung, Rechtsgrundlage, Speicherdauer, Empfänger der Daten und Hinweis auf die Betroffenenrechte.

GPS-Tracking und Datenschutz

GPS-Tracking bei der Zeiterfassung ist ein besonders sensibles Thema. Die Standorterfassung von Mitarbeitern geht über die reine Arbeitszeitdokumentation hinaus und erfordert besondere datenschutzrechtliche Maßnahmen.

Zulässigkeit von GPS-Tracking

GPS-Tracking bei der Zeiterfassung ist grundsätzlich zulässig, wenn:

  • Es einen berechtigten Zweck gibt (z. B. Nachweis von Einsatzorten, Fahrtzeitenerfassung, Kundennachweis)
  • Die Verhältnismäßigkeit gewahrt bleibt (kein permanentes Tracking, nur beim Stempeln)
  • Die Mitarbeiter informiert werden (Art. 13 DSGVO)
  • Eine Interessenabwägung durchgeführt und dokumentiert wurde
  • Ggf. eine Betriebsvereinbarung abgeschlossen wurde

Punkt-Tracking statt Dauerüberwachung

Erfassen Sie GPS-Koordinaten nur beim Ein- und Ausstempeln (Punkt-Tracking), nicht dauerhaft während der Arbeitszeit. Das reduziert die Datenmenge erheblich und ist datenschutzrechtlich deutlich unproblematischer. Crewly nutzt genau dieses Prinzip: Der Standort wird nur bei der aktiven Stempelung erfasst. Mehr dazu in unserem Artikel GPS-Zeiterfassung und DSGVO.

Datenschutz-Folgenabschätzung (DSFA)

Bei systematischer GPS-Überwachung von Mitarbeitern ist nach Art. 35 DSGVO in der Regel eine Datenschutz-Folgenabschätzung (DSFA) erforderlich. Die DSFA muss folgende Elemente enthalten:

  • Systematische Beschreibung der Verarbeitungsvorgänge und ihrer Zwecke
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit
  • Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen
  • Geplante Abhilfemaßnahmen zur Risikominimierung

Auch wenn bei reinem Punkt-Tracking die Notwendigkeit einer DSFA diskutabel ist, empfehlen wir, sie durchzuführen. Sie dient als Dokumentation Ihrer Datenschutz-Compliance und stärkt Ihre Position bei eventuellen Prüfungen durch die Aufsichtsbehörde.

Betriebsrat und Mitbestimmung

Wenn in Ihrem Unternehmen ein Betriebsrat besteht, hat dieser bei der Einführung und Ausgestaltung einer Zeiterfassung ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Dieses Recht bezieht sich auf die Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.

Was bedeutet das in der Praxis?

  • Der Betriebsrat muss vor der Einführung informiert und beteiligt werden
  • Eine Betriebsvereinbarung zur Zeiterfassung sollte abgeschlossen werden
  • Die Betriebsvereinbarung regelt: Art der Erfassung, erfasste Daten, Zugriffsrechte, Auswertungsmöglichkeiten, Speicherfristen
  • Ohne Zustimmung des Betriebsrats darf das System nicht eingeführt werden

Betriebsvereinbarung als Rechtsgrundlage

Eine Betriebsvereinbarung kann nach Art. 88 DSGVO i. V. m. § 26 Abs. 4 BDSG auch als eigenständige Rechtsgrundlage für die Datenverarbeitung dienen. Sie bietet damit sowohl arbeitsrechtliche als auch datenschutzrechtliche Sicherheit. Wir empfehlen, die Betriebsvereinbarung von einem Fachanwalt für Arbeitsrecht prüfen zu lassen.

Cloud vs. On-Premise: Wo liegen Ihre Daten?

Bei der Wahl eines Zeiterfassungssystems stellt sich die Frage, ob die Daten in der Cloud oder auf eigenen Servern (On-Premise) gespeichert werden sollen.

Cloud-Lösung

  • Vorteile: Kein eigener Server nötig, automatische Updates, Zugriff von überall, professionelle Sicherheitsmaßnahmen des Anbieters, geringe Einstiegskosten
  • Datenschutz-Anforderung: Server in der EU (idealerweise Deutschland), AV-Vertrag nach Art. 28 DSGVO mit dem Anbieter, zertifizierte Rechenzentren
  • Geeignet für: Die meisten Unternehmen, insbesondere KMU

On-Premise-Lösung

  • Vorteile: Volle Kontrolle über die Daten, kein Drittanbieter-Zugriff, Daten verlassen das Unternehmen nicht
  • Nachteile: Hohe Investitionskosten, eigene IT-Infrastruktur nötig, Verantwortung für Sicherheit und Updates liegt bei Ihnen
  • Geeignet für: Große Unternehmen mit eigener IT-Abteilung und besonderen Sicherheitsanforderungen

Cloud ist meist die bessere Wahl

Für die meisten Unternehmen ist eine Cloud-Lösung die sicherere und wirtschaftlichere Option. Professionelle Anbieter investieren weit mehr in Sicherheit, als es ein einzelnes Unternehmen könnte. Achten Sie auf Server in der EU, Verschlüsselung und einen AV-Vertrag. Crewly speichert alle Daten verschlüsselt in zertifizierten europäischen Rechenzentren und stellt einen fertigen AV-Vertrag bereit.

Praktische Checkliste: DSGVO-konforme Zeiterfassung

Nutzen Sie diese Checkliste, um sicherzustellen, dass Ihre Zeiterfassung alle datenschutzrechtlichen Anforderungen erfüllt:

  • Rechtsgrundlage dokumentiert (Art. 6 Abs. 1 lit. c DSGVO + ArbSchG)
  • Mitarbeiter gemäß Art. 13 DSGVO informiert
  • Verarbeitungsverzeichnis nach Art. 30 DSGVO erstellt
  • Löschkonzept mit konkreten Fristen entwickelt
  • AV-Vertrag mit dem Software-Anbieter geschlossen
  • Datenschutzbeauftragter eingebunden (falls vorhanden)
  • Betriebsrat beteiligt (falls vorhanden)
  • DSFA durchgeführt (bei GPS-Tracking)
  • Technische und organisatorische Maßnahmen (TOMs) geprüft
  • Zugriffsrechte nach Rollen definiert (wer sieht welche Daten?)

Fazit: Datenschutz und Zeiterfassung gehören zusammen

Zeiterfassung und Datenschutz sind kein Widerspruch. Mit der richtigen Rechtsgrundlage, transparenter Kommunikation und einem durchdachten Löschkonzept erfüllen Sie beide Anforderungen gleichzeitig. Wählen Sie einen Anbieter, der DSGVO-Konformität nicht als Marketingfloskel versteht, sondern als Kernbestandteil seiner Lösung.

Crewly wurde von Anfang an mit Datenschutz im Kern entwickelt: Punkt-Tracking statt Dauerüberwachung, Serverstandort in der EU, rollenbasierte Zugriffsrechte und automatische Löschkonzepte. Testen Sie die DSGVO-konforme Zeiterfassung 14 Tage kostenlos und überzeugen Sie sich selbst.

Häufig gestellte Fragen

Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) in Verbindung mit § 3 Abs. 2 Nr. 1 ArbSchG und dem BAG-Urteil zur Zeiterfassungspflicht.

Arbeitszeitdaten müssen mindestens 2 Jahre aufbewahrt werden (§ 16 Abs. 2 ArbZG). Für steuerliche Zwecke gelten Aufbewahrungsfristen von bis zu 10 Jahren.

Ja. Nach Art. 15 DSGVO haben Mitarbeiter ein Auskunftsrecht über alle gespeicherten personenbezogenen Daten, einschließlich Zeiterfassungsdaten.

GPS-Tracking ist unter strengen Voraussetzungen zulässig: Erforderlichkeit, Verhältnismäßigkeit, Information der Mitarbeiter und ggf. Betriebsratsvereinbarung.

Bei systematischer Überwachung (z.B. GPS-Tracking) ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich.

14 Tage kostenlos

Bereit für digitale Zeiterfassung?

Testen Sie Crewly jetzt kostenlos und erleben Sie, wie einfach es sein kann.

Jetzt kostenlos startenDemo vereinbaren
Keine KreditkarteJederzeit kündbar

Weiterlesen

Ähnliche Artikel

BAG-Urteil 2022 zur Zeiterfassungspflicht

Recht & Compliance

BAG-Urteil Zeiterfassung 2026: Was Arbeitgeber jetzt tun müssen

Die Pflicht zur Arbeitszeiterfassung erklärt: Urteil, Konsequenzen & Umsetzung.

Arbeitszeitgesetz im Handwerk erklärt

Recht & Compliance

Arbeitszeitgesetz Handwerk 2026: Regeln, Pausen & Höchstarbeitszeit

Höchstarbeitszeit, Pausen, Ruhezeiten, Azubis & Bußgelder – alle Regeln erklärt.

Recht & Compliance

Mindestlohn 2026: Was Arbeitgeber jetzt wissen müssen

Aktueller Mindestlohn, Branchen-Mindestlöhne und Aufzeichnungspflichten nach MiLoG – das musst du als Arbeitgeber wissen.