Datenschutzrechtliche Hürden der digitalen Arbeitszeiterfassung
Stolperfallen bei der digitalen Arbeitszeiterfassung
Die Thematik der Arbeitszeiterfassung schlägt seit 2019 in der arbeitsrechtlichen Welt große Wogen. Mit Urteil vom 14.5.2019 stellte der Europäische Gerichtshof (EuGH) klar, dass Arbeitgeber:innen verpflichtet sind, „ein System einzurichten, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann“. Für deutsche Arbeitgeber:innen bedeutete dies, dass es über die Regelungen des Arbeitszeitgesetzes hinaus nicht mehr nur Überstunden zu dokumentieren galt. Auch wurden populäre Konzepte des New Work, wie etwa Vertrauensarbeitszeit, infrage gestellt, wenn die Dauer der Arbeitszeiten nun doch erfasst werden musste.
Eine weitere Stolperfalle: Vielfach wurde Wert auf Vereinfachung gelegt, sodass die Arbeitszeiterfassung oft digital erfolgt. Damit steht ein Einfallstor für mögliche Datenschutzverstöße sperrangelweit offen. Was ist also bei digitaler Zeiterfassung zu beachten? Wie steht es um Zeiterfassung via Fingerabdruck oder Standortdaten (GPS)?
Rechtliche Einordnung
Bei Arbeitszeiten handelt es sich um personenbezogene Daten, deren Verarbeitung in der Datenschutz-Grundverordnung (DSGVO) unter besonderen Schutz gestellt ist. Denn die Arbeitszeit als Information kann mit den entsprechenden Arbeitnehmer:innen verknüpft sein. Auch die datenschutzrechtliche Berechtigung auf Arbeitgeberseite, diese personenbezogenen Daten zu Zwecken der Durchführung des Arbeitsverhältnisses zu verarbeiten, ist unbestritten. Der Teufel steckt aber, wie so oft, im Detail.
Zwingende Betriebsratsbeteiligung
Vor der Einführung eines digitalen Zeiterfassungssystems steht dem Betriebsrat ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz – BetrVG zu. Denn solche Systeme sind zumindest theoretisch dazu geeignet, das Verhalten der Beschäftigten zu kontrollieren. Ob das Unternehmen eine solche Überwachung tatsächlich auch beabsichtigt, spielt für die Entstehung des Mitbestimmungsrechts keine Rolle.
Keine (aktive) Leistungskontrolle durch Zeiterfassung
Daten müssen nach Art. 5 DSGVO immer zweckgebunden verarbeitet werden. Das heißt: Die Datenverarbeitung im Rahmen der digitalen Arbeitszeiterfassung darf nur dem Zweck der Arbeitszeiterfassung dienen. Den Arbeitgeber:innen wird eine Missbrauchskontrolle zugestanden – durch Stichprobenkontrollen oder im Einzelfall anlassbezogen.
Speicherungsdauer
Nach § 16 Abs. 2 Arbeitszeitgesetz – ArbZG sind Arbeitgeber:innen verpflichtet, die Dokumentation der Überstunden mindestens zwei Jahre aufzubewahren. Außerdem sind steuerrechtliche Aufbewahrungspflichten von zehn Jahren im Rahmen der Abgabenordnung zu wahren. Sonstige Abwesenheitszeiten (z.B. Krankheit) sollten bis zu zwei Jahre dokumentiert werden. Nach Ablauf dieser Fristen ist das Unternehmen verpflichtet, die jeweiligen Daten zu löschen.
Fingerabdrücke oder andere biometrische Daten zur Zeiterfassung
Im Allgemeinen ist dringend davon abzuraten, für die Zeiterfassung Fingerabdrucksensoren oder biometrische Daten (z.B. FaceID oder ähnliche Systeme) zu verwenden. Für diese Daten gelten gemäß Art. 4 Nr. 14 und Art. 9 DSGVO besonders strenge Anforderungen, die fast nie erfüllt sein dürften. Die Rechtfertigung „fälschungssichere Zeiterfassung“ dürfte regelmäßig nicht ausreichen. Auch eine Einwilligung in die Verwendung solcher biometrischer Daten scheidet als Rechtfertigung regelmäßig aus, da die Freiwilligkeit einer Einwilligung wegen der Abhängigkeit im Beschäftigungsverhältnis zu bezweifeln ist.
GPS für Mitarbeitende im Außendienst
Einige Unternehmen setzen für Mitarbeitende im Außendienst GPS-Daten zur Arbeitszeiterfassung ein. Auf den ersten Blick hat das für viele Seiten Vorteile, wie die effiziente und minutengenaue Abrechnung und mögliche Projektzuordnung. Auch im Alltag nutzen wir GPS, um beispielsweise die Position des Paketdienstes oder der Essensbestellung bequem von der Couch im Live-Tracking zu verfolgen.
Arbeitnehmer:innen werden jedoch zunehmend gläsern, wenn (mindestens) Vorgesetzte sie somit auf Schritt und Tritt überwachen können. Eine permanente Überwachung widerspricht dem datenschutzrechtlichen Grundsatz der Datensparsamkeit. Um die Verarbeitung zu begrenzen, kann man z.B. Apps einsetzen, mit denen sich Mitarbeitende im Außendienst ein- und ausstempeln und somit selbst kontrollieren, wann das GPS-System aktiviert ist. Aber: Auch bei dem Einsatz solcher Apps ist der Betriebsrat zu beteiligen. Letztlich bleiben Arbeitgeber:innen Verantwortliche im Sinne der DSGVO.
Praxishinweis
Die Digitalisierung hält auch dank der Kreativität von Softwareentwickler:innen scheinbar für alle Probleme des Zeitmanagements und der Effizienzsteigerung eine Lösung bereit. Dies aber verbunden mit der oft notwendigen, auf die eine oder andere Weise immer lukrativen Datenverarbeitung. Anders als im Privaten müssen in der Arbeitswelt strenge Standards für den Datenschutz angelegt werden. Für Unternehmen gilt, dass aus datenschutzrechtlicher Sicht stets eine genaue Prüfung erforderlich ist:
- Erfüllt das gewünschte Zeiterfassungssystem (nur) den Zweck der Arbeitszeiterfassung?
- Gibt es eine andere Software, die weniger Daten sammelt, aber dennoch genauso gut die Arbeitszeiten erfasst und aufbereitet?
- Stehen die gewonnenen Daten in einem angemessenen Verhältnis zu dem Ziel der Arbeitszeiterfassung?
Wenn Sie Fragen zu den datenschutzrechtlichen Aspekten der digitalen Zeiterfassung in Ihrem Unternehmen haben oder wir Sie bei der Umsetzung unterstützen können, sprechen Sie uns gerne an.