DSGVO-konforme Zeiterfassung: Checkliste für 2026
Zeiterfassungsdaten sind hochsensible Arbeitnehmerdaten. Die DSGVO schreibt vor, dass du nur die Informationen speichern darfst, die du tatsächlich brauchst — und diese nur so lange, wie die Gesetze vorsehen. PIN-Codes und RFID-Karten sind datenschutzfreundlich, GPS-Tracking und Gesichtserkennung erfordern explizite schriftliche Genehmigung. Mit dieser 10-Punkte-Checkliste stellst du sicher, dass deine Zeiterfassung rechtskonform ist und du die Bußgelder der Behörde vermeidest.
Warum DSGVO bei Zeiterfassung besonders relevant ist
Zeiterfassungsdaten gehören zu den sensibelsten Daten überhaupt:
- Sie zeigen, wann eine Person anwesend war (Bewegungsmuster, Privatsphäre)
- Sie verraten Pausengewohnheiten und Ruhepausen (Gesundheit)
- Sie können kombiniert werden mit GPS/Geofencing (genauer Standort)
- Sie sind unvermeidlich — jeder Arbeitgeber mit mehr als 10 Mitarbeitern muss seit 2015 erfassen
Statistik: 2024 verhängte die Datenschutzbehörde Baden-Württemberg eine Geldbuße von 300.000 Euro gegen einen Betrieb, der biometrische Daten (Fingerabdruck) ohne explizite Einwilligung speicherte. Im selben Jahr gab es über 80 DSGVO-Bußgelder gegen deutsche Unternehmen im Bereich Arbeitnehmerdatenschutz (durchschnittlich 180.000 Euro).
Die DSGVO ist keine Gedöns-Richtlinie — Verstöße kosten dich echtes Geld.
Welche Daten erlaubt sind (und welche nicht)
Erlaubte Daten (unbedenklich)
Diese Daten darfst du speichern, ohne dass du explizite Einwilligung brauchst:
| Datentyp | Rechtsgrundlage | Speicherdauer |
|---|---|---|
| Beginn und Ende der Arbeitszeit | Art. 6 Abs. 1 c) DSGVO (Rechtserfüllung) | Mindestens 2 Jahre (MiLoG) |
| Pausen und Ruhezeiten | Art. 6 Abs. 1 c) DSGVO | Mindestens 2 Jahre |
| Datum der Arbeitstage | Art. 6 Abs. 1 c) DSGVO | Mindestens 2 Jahre |
| Überstunden und Zuschläge | Art. 6 Abs. 1 c) DSGVO | Mindestens 6 Jahre (Steuerrecht) |
Diese Daten sind das absolute Minimum für ArbZG-Compliance (Arbeitszeitgesetz).
Daten mit Einwilligung (benötigen schriftliche Zustimmung)
| Datentyp | Sicherheitsrisiko | Erforderliche Maßnahme |
|---|---|---|
| GPS-Tracking (exakt) | Hoch | Explizite schriftliche Einwilligung, Opt-Out möglich |
| Geofencing | Mittel bis hoch | Explizite schriftliche Einwilligung, geographisch begrenzt |
| Standort-Protokollierung | Hoch | Explizite schriftliche Einwilligung, zeitlich begrenzt |
| Fotos/Biometrische Daten | Sehr hoch | Explizite schriftliche Einwilligung (Art. 9 DSGVO) |
Wichtig: "Einwilligung" heißt nicht "ein Checkbox in den AGB". Es heißt ein separater, unterschriebener Satz wie: "Ich stimme dem täglichen GPS-Tracking zur Überprüfung der Arbeitszeiten zu. Diese Einwilligung kann ich jederzeit widerrufen."
Verbotene Daten (keine Grauzone)
Diese Daten darfst du niemals speichern:
- Keystroke-Logging (jeder Tastendruck dokumentiert)
- Permanente Kamera-Überwachung ohne Mitarbeiterzustimmung
- Biometrische Daten ohne Art. 9-Einwilligung (Fingerabdrücke, Iris-Scan)
- Gesichtserkennung (ist in vielen Bundesländern per Arbeitnehmer-Einwilligung verboten)
- Internetverlauf-Monitoring (Was hat der Mitarbeiter online gemacht?)
- E-Mail-Inhalte durchsuchen nach Arbeitszeit-Indizien
10-Punkte-DSGVO-Checkliste für Zeiterfassung
Drucke diese Checkliste aus und gehe sie mit deinem Datenschutzbeauftragten oder einem auf DSGVO spezialisierten Rechtsanwalt durch:
| Nr. | Maßnahme | Status | Verantwortung | Deadline |
|---|---|---|---|---|
| 1 | Rechtsgrundlage festlegen: Art. 6 Abs. 1 c) DSGVO (Rechtserfüllung/ArbZG) schriftlich dokumentiert | [ ] Erledigt | Geschäftsführer | — |
| 2 | DSFA durchführen: Datenschutz-Folgenabschätzung für GPS/Geofencing (obligatorisch ab Standort-Tracking) | [ ] Erledigt | Datenschutzbeauftragter | Vor GPS-Einführung |
| 3 | Datenschutzerklärung aktualisieren: Für Mitarbeiter mit Details zu Zeiterfassung, Speicherdauer, Löschung, Betroffenenrechte (Art. 13/14 DSGVO) | [ ] Erledigt | HR/DV-Leitung | Vor Systemstart |
| 4 | Aufbewahrungsfristen dokumentieren: Schriftlich festlegen: 2 J. MiLoG, 6 J. Steuer, 10 J. Buchführung | [ ] Erledigt | Buchhaltung | — |
| 5 | Zugriffskonzept & Rollen: Wer darf welche Daten sehen? (HR-Leiter? Schichtleiter? Betriebsrat?) Dokumentieren & Zugriffsrechte im System einrichten | [ ] Erledigt | IT-Leitung | Vor Systemstart |
| 6 | Verschlüsselung: TLS/SSL für alle Datenübertragung (HTTPS). End-to-End bei GPS-Daten. Passwörter gehasht (bcrypt/Argon2) | [ ] Erledigt | IT-Sicherheit | Vor Systemstart |
| 7 | Betriebsrat einbinden: Betriebsrat gemäß §87 BetrVG einbeziehen (Überwachungsmaßnahmen, Zeiterfassung, GPS-Tracking benötigen Mitbestimmung) | [ ] Erledigt | Geschäftsführer | Vor Einführung |
| 8 | Mitarbeiter informieren & schulen: Jeder MA bekommt Datenschutzerklärung, weiß was erfasst wird, warum, wie lange, wem bekannt | [ ] Erledigt | HR-Abteilung | Vor Systemstart |
| 9 | Löschkonzept implementieren: Automatische Löschung nach Aufbewahrungsfrist (z. B. Einträge älter als 6 Jahre automatisch löschen) | [ ] Erledigt | IT-Leitung | Vor Systemstart |
| 10 | Audit & Monitoring: Jährlich überprüfen, ob Daten DSGVO-konform verarbeitet werden. Auftragsverarbeiterverträge (AVV) mit Software-Anbieter unterschrieben | [ ] Erledigt | Datenschutzbeauftragter | Jährlich wiederkehrend |
Speicherdauer: Was sagt das Gesetz?
Die Aufbewahrungsfristen sind nicht verhandelbar — sie sind in Gesetzen festgelegt:
| Frist | Gesetz | Grund |
|---|---|---|
| Mindestens 2 Jahre | MiLoG (Mindestlohngesetz) | Kontrolle von Mindestlohn und Überstunden |
| 6 Jahre | HGB (Handelsgesetzbuch) | Steuerliche Aufbewahrung |
| 10 Jahre | HGB / AStG (Arbeitsstättengaststättenbeschäftigtenschutzgesetz) | Lohnabrechnung, Steuer |
| Nach Ablauf: Löschen | DSGVO Art. 17 | Keine Überlagerung von Daten |
Praktisch bedeutet das: Wenn du eine Zeiterfassung am 15.1.2026 erfasst hast, darfst du sie mindestens bis 15.1.2028 speichern (2 Jahre). Danach musst du sie löschen, es sei denn, ein anderes Gesetz schreibt eine längere Frist vor.
Fehler, die Betriebe machen:
- "Wir speichern alle Daten unbegrenzt zur Sicherheit" → DSGVO-Verstoß
- "Wir archivieren alles für immer" → DSGVO-Verstoß
- "Wir haben keine dokumentierte Löschrichtlinie" → DSGVO-Verstoß
docunest bietet automatische Löschplanung — ihr müsst nur die Aufbewahrungsfristen konfigurieren.
Biometrische Zeiterfassung: Das Risiko
Fingerabdruck und Gesichtserkennung für Zeiterfassung klingen modern, sind aber ein Datenschutz-Minenfeld:
Fingerabdruck-Terminal
| Aspekt | Problem |
|---|---|
| Art-9-Daten | Biometrische Daten = besondere personenbezogene Daten (Art. 9 DSGVO) |
| Einwilligungsanforderung | Explizite schriftliche Einwilligung plus Dokumentation, dass DA zustimmte |
| Risiko | Fingerabdruck ist unveränderbar — wenn das System gehackt wird, kann der MA nie mehr seine Identität ändern |
| Praxis | Über 70% der Betriebe, die Fingerabdruck-Systeme einführten, zogen diese später wieder zurück wegen Datenschutz-Bedenken |
Gesichtserkennung
| Aspekt | Problem |
|---|---|
| Art-9-Daten | Auch Gesichtserkennung = Art. 9 DSGVO (Kategorien besonderer Daten) |
| Mitbestimmung | In vielen Bundesländern wird Gesichtserkennung als "Überwachungstechnologie" eingestuft → §87 BetrVG Mitbestimmung (Betriebsrat kann blocken) |
| Praxis 2025 | Mehrere Bundesländer lehnen biometrische Zeiterfassung grundsätzlich ab |
Empfehlung: Nutze PIN-Codes (sicher, kostengünstig, DSGVO-unbedenklich) oder RFID-Karten (sehr sicher, schnell, DSGVO-konform). Biometrie ist in Betrieben mit unter 500 MA selten gerechtfertigt.
PIN und RFID-Karten: Die datenschutzfreundlichen Alternativen
PIN-Code (4–6 Ziffern)
| Vorteil | Nachteil |
|---|---|
| Völlig DSGVO-konform | Sicherheit nur bei Geheimhaltung |
| Kostenlos | "Schulterschau"-Risiko |
| Schnell zu ändern | Mitarbeiter vergessen PIN |
Tipp: Kombiniere PIN mit automatischer Sperre nach 3 Fehlversuchen.
RFID-Karten / NFC-Karten
| Vorteil | Nachteil |
|---|---|
| Sehr schnell (< 1 Sekunde) | Karten kosten 2–5 Euro pro Stück |
| Hohe Akzeptanz bei Mitarbeitern | Karten können theoretisch geklont werden |
| DSGVO-konform (nicht biometrisch) | Ersatzbeschaffung bei Verlust |
Best Practice: PIN + RFID kombinieren:
- Normale Erfassung: RFID-Karte halten
- Bei Kartenverlust: PIN-Code als Fallback
- Extrem sichere Bereiche: PIN + RFID-Karte parallel
docunest unterstützt beides nativ — du kannst je nach Betriebsbereich unterschiedliche Authentifizierungsmethoden konfigurieren.
Auftragsverarbeitervertrag (AVV) mit deinem Software-Anbieter
Wenn du docunest oder ein anderes Cloud-System nutzt, brauchst du einen schriftlichen Auftragsverarbeitungsvertrag (AVV). Das ist keine optionale Formalität — das ist ein Rechtserfordernis gemäß Art. 28 DSGVO.
Im AVV muss stehen:
- Was darf die Software-Firma mit deinen Daten tun? (Nur Speicherung und Verarbeitung)
- Wo werden Daten gespeichert? (z. B. Deutschland, EU, Cloud-Region)
- Wie lange? (Laufzeit des Vertrags)
- Was passiert mit Daten bei Vertragsende? (Löschung oder Rückgabe)
- Subunternehmer (darf der Anbieter an Dritte weitergeben?)
docunest stellt dir einen vorgefertigten AVV zur Verfügung — unterschrieben von beiden Seiten. Du brauchst ihn nur auszufüllen und zu unterschreiben.
Praktische Checkliste für die Einführung
Phase 1: Vorbereitung (2–4 Wochen vorher)
- Datenschutzbeauftragter oder Rechtsanwalt konsultiert
- Betriebsrat informiert und eingebunden
- DSFA (falls GPS/Geofencing) durchgeführt
- AVV mit Software-Anbieter unterschrieben
Phase 2: Konfiguration (1–2 Wochen vorher)
- Aufbewahrungsfristen im System konfiguriert
- Zugriffsrechte vergeben (wer sieht was?)
- Datenschutzerklärung finalisiert und übersetzt (falls ausländische MA)
- Schulungsmaterial für Mitarbeiter vorbereitet
Phase 3: Rollout (Einführungswoche)
- Jeder MA bekommt Datenschutzerklärung schriftlich
- Schulung Zeiterfassungs-System
- Erste Testphase (1–2 Wochen live, Feedback sammeln)
Phase 4: Laufend
- Jährliches Audit durchführen
- Löschprozesse kontrollieren (werden alte Daten wirklich gelöscht?)
- Datenschutz-Updates der Software überwachen
Fazit
DSGVO-Compliance bei Zeiterfassung ist kein kompliziertes Problem — es ist nur eine Checkliste von 10 Punkten. Wenn du diese abhakst, schläfst du ruhig:
- Rechtsgrundlage festlegen
- DSFA durchführen
- Datenschutzerklärung aktualisieren
- Aufbewahrungsfristen dokumentieren
- Zugriffskonzept einrichten
- Verschlüsselung aktivieren
- Betriebsrat einbinden
- Mitarbeiter informieren
- Löschkonzept implementieren
- Jährlich auditieren
docunest ist ab Werk DSGVO-konform: Verschlüsselte Speicherung (AES-256), automatische Löschung nach Aufbewahrungsfrist, detaillierte Zugriffskontrolle und ein ausführlicher AVV. Du musst nur die organisatorischen Maßnahmen (Datenschutzerklärung, Betriebsrat, Schulung) durchziehen.
Kosten für einen Fehler: 300.000 Euro (oder mehr). Kosten, um es richtig zu machen: Ein Nachmittag Planung + 50 Euro Rechtsanwalts-Kurzberatung.
Die Mathematik ist eindeutig.
Häufige Fragen
Brauche ich einen Datenschutzbeauftragten? Das hängt von deiner Betriebsgröße ab. Betriebe ab 20 Mitarbeitern, die regelmäßig Daten verarbeiten, sollten mindestens eine externe Datenschutz-Beratung nutzen. Ein interner Datenschutzbeauftragter ist ab 10 MA mit automatisierten Datenverarbeitungsprozessen (also bei digitaler Zeiterfassung) empfohlen.
Kann ich Daten "für die Zukunft" speichern, falls ich sie später brauche? Nein. DSGVO erlaubt "Speicherung ohne konkrete Nutzungsabsicht" nicht. Du speicherst nur das, was du tatsächlich brauchst, und so lange wie nötig. Danach löschen.
Was passiert, wenn ein Mitarbeiter sagt, er will GPS-Tracking nicht? Das ist sein Recht. Wenn das Unternehmen GPS-Tracking für den Job braucht (z. B. Außendienst mit Route-Optimierung), müsst ihr eine Lösung finden: Entweder der MA stimmt zu, oder ihr nutzt ein alternatives Modell (z. B. Manual-Check-In per App).
Darf ich auf Betriebsrat warten, bevor ich Zeiterfassung einführe? Nein, aber du musst den Betriebsrat vor Einführung einbinden. §87 BetrVG ist eine Mitbestimmungspflicht, keine Veto-Macht. Der Betriebsrat kann eine Einigung erzwingen, kann dich aber nicht komplett blocken. Beginne Gespräche 6–8 Wochen vor Systemstart.
Ist Datenschutz-Konformität ein Wettbewerbsvorteil? Ja und nein. Für Arbeitgeber-Bewertungen (Kununu, etc.) sind DSGVO-konform eingeführte Systeme ein Pluspunkt. Größere Kunden erwarten zudem, dass ihre Lieferanten datenschutzkonform arbeiten. Compliance ist Grundhygiene, kein Luxus.
Muss ich die 10 Punkte alle selbst machen, oder kann docunest helfen? docunest erledigt die technischen Punkte (6, 9, 10). Punkt 7 (Betriebsrat) und Punkt 8 (Mitarbeiter-Info) musst du selbst machen — das ist Kommunikation und Governance. docunest kann dir Templates und Leitfäden geben.