Regelung zur Zeiterfassung in der Betriebsvereinbarung

daten 11
Fachbeitrag

In unserem Artikel „Arbeitszeiterfassung vs. Datenschutz“ sind wir darauf eingegangen, unter welchen Voraussetzungen die Zeiterfassung in einem Betrieb zulässig ist. In diesem Artikel behandeln wir das Thema, welche Punkte der Zeiterfassung in einer Betriebsvereinbarung zwingend geregelt werden müssen.

Funktionsbeschreibung

Da es für die Zeiterfassung viele verschiedene Tools mit unterschiedlichen Auswertungsmöglichkeiten gibt, ist es aus Transparenzgründen sinnvoll und erforderlich, den im Unternehmen tatsächlich eingesetzten Funktionsumfang zu beschreiben.

Art der gespeicherten Daten

In der Betriebsvereinbarung ist festzulegen, welche Daten in dem Zeiterfassungssystem gespeichert werden. Gemeint sind damit vor allem die personenbezogenen Daten der Mitarbeiter.

Zweckbindung

Die personenbezogenen Daten der einzelnen Mitarbeiter dürfen nur im Rahmen des vorher in der Betriebsvereinbarung festgelegten Zwecks verarbeitet werden.

Wenn der Zweck der Verarbeitung die Berechnung der Auslastung der einzelnen Mitarbeiter in Bezug auf bestimmte Projekte ist, dann dürfen die personenbezogenen Daten der Mitarbeiter auch nur zu diesem Zweck genutzt werden. Ist der Zweck die Berechnung der geleisteten Arbeitszeiten allgemein, so muss die Auswertung sich in diesen Grenzen bewegen.

Zudem ist die Rechtsfolge zu regeln, was passiert, wenn die Daten außerhalb des Zwecks verwendet wurden.

Zugriffsrechte

Bei der Vergabe von Zugriffsrechten ist das „Need to know“-Prinzip einzuhalten. Damit ist gemeint, dass nur solche Mitarbeiter im Unternehmen auf die Daten im Zeiterfassungssystem zugreifen dürfen, die diese Informationen zur Erfüllung eigener Arbeitsaufgaben benötigen.

In der Regel brauchen die Vorgesetzten bzw. die Personalverantwortlichen einen Zugriff auf die Daten im Zeiterfassungssystem. Ausnahmsweise können auch die Projektleiter bzw. Projektverantwortlichen auf die Daten zugreifen, soweit dies erforderlich ist, um die Projektplanung zu organisieren (auch hier gilt: Dieser Zweck muss vorher ausdrücklich geregelt werden).

Die Zugriffsregelungen sind alle in einem Berechtigungskonzept niederzuschreiben. Ebenso ist dort zu beschreiben, wer organisatorisch und technisch die Berechtigungen vergibt, da zwischen Berechtigungsbewilligung und Berechtigungsvergabe unterschieden werden muss.

Auswertung der Daten

Wie oben erwähnt, dürfen die personenbezogenen Daten im Zeiterfassungssystem nur zu dem vorher festgelegten Zweck verarbeitet werden. Mit „verarbeiten“ ist dabei insbesondere die Auswertung der Daten gemeint. So kann es zulässig sein, dass die Daten zum Zwecke der Auslastung der Mitarbeiter ausgewertet werden. So weit wie möglich, sind die Daten jedoch zu anonymisieren. Berichte und Auswertungen der Zeiterfassungsdaten zu einzelnen Projekten bedürfen in der Regel nicht der Namensnennung der Beschäftigten.

Informationen über Krankheit oder Erholungsurlaub zählen zu den besonders vertraulich zu behandelnden Personalaktendaten, die vor unbefugter Kenntnisnahme zu schützen sind. Auf solche Informationen dürfte zum Beispiel nur der direkte Vorgesetzte Zugriff haben. Dagegen bestehen gegen eine Auswertung der Zeiterfassungsdaten für unternehmensinterne An- bzw. Abwesenheitslisten keine Bedenken, solange die Gründe für die An- bzw. Abwesenheit nicht genannt werden.

Darüber hinaus sind die Grenzen der (noch) zulässigen Leistungs- und Verhaltenskontrolle zu beachten. Anonymisierungen können sicherstellen, dass Leistungsvergleiche zwischen Mitarbeiter oder Rückschlüsse auf Arbeitsverhalten und -leistung einzelner Mitarbeiter ausgeschlossen sind.

Eine Dauerüberwachung von Mitarbeitern z.B. mittels RFID oder GPS-Ortungssysteme ist in der Regel unzulässig.

Dauer der Datenspeicherung

Regelungen zu der Dauer der Datenspeicherung in Zeiterfassungssystemen gibt es nur einige wenige. So legt § 16 Abs. 2 ArbZG lediglich fest, dass die über die werktägliche Arbeitszeit hinausgehende Arbeitszeit (Überstunden) für zwei Jahre zu speichern ist.

Weitere Aufbewahrungsfristen können sich aus steuerrechtlichen Normen ergeben. Beispielsweise müssen Bruttolohnlisten gemäß § 257 Abs. 1 Nr. 2, Abs. 4 HGB, § 147 Abs. 1 Nr. 2, Abs. 3 AO für sechs Jahre aufbewahrt werden.

Vorabkontrolle und Verfahrensverzeichnis

Bei der Einführung eines Zeiterfassungssystems ist der Datenschutzbeauftragte Ihres Unternehmens einzubeziehen. Die Aufgabe des Datenschutzbeauftragten ist es – neben einer gegebenenfalls erforderlichen Vorabkontrolle – ein Verfahrensverzeichnis zu erstellen. Zu diesem Zweck sind dem Datenschutzbeauftragten die in § 4e BDSG genannten Informationen zur Verfügung zu stellen.

Dieser Artikel ist Teil unserer Serie zum Arbeitnehmerdatenschutz.

2 Kommentare zu diesem Beitrag

  1. Ein erneutes Einstellen einer bzgl. der Dokumantationspflicht (Mindestlohngesetzgebung) erweiterten/angepassten Version des oben verlinkten Artikels aus 2010 wäre sicher noch eine gute Idee.

  2. Hallo,
    es gehört NICHT zu den Aufgaben des Datenschutzbeauftragten, ein Verfahrensverzeichnis zu erstellen!
    Zitat: “Die Aufgabe des Datenschutzbeauftragten ist es – neben einer gegebenenfalls erforderlichen Vorabkontrolle – ein Verfahrensverzeichnis zu erstellen.”

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.