Das Bundesarbeitsgericht (BAG) hat mit seinem Beschluss vom 13.09.2022 (Az. 1 ABR 22/21) für viel Aufregung gesorgt. Demnach sind Unternehmen grundsätzlich zur Erfassung der Arbeitszeit der Beschäftigten verpflichtet. Das BAG folgt damit dem sog. Stechuhr-Urteil des Europäischen Gerichtshofs (EuGH) vom 14.05.2019 (Az. C 55/18).

Auch wenn einige Unternehmen nur zögerlich darauf reagieren, ist klar: In Zukunft steht die Zeiterfassung flächendeckend wieder an der Tagesordnung. Dabei wird eine Vielzahl personenbezogener Daten erhoben und verarbeitet. Und an dieser Stelle kommt nun das Datenschutzrecht ins Spiel. Denn dort, wo personenbezogene Daten erhoben und verarbeitet werden, müssen verschiedene datenschutzrechtliche Aspekte beachtet werden.

Wenn die Stechuhr beim Stechen lustvoll stöhnt …

Fast 40 Jahre nach dem Lied von Geier Sturzflug ist die Stechuhr vermutlich eher im Museum als in modernen Unternehmen zu finden. Stattdessen gibt es heute eine unüberschaubare Vielfalt an Möglichkeiten, die Arbeitszeit zu erfassen. Häufig zu finden sind elektronische Geräte am Eingang zur Arbeitsstätte, über die sich die Mitarbeitenden beim Kommen und Gehen bspw. per Token, Karte oder PIN authentisieren und zeitgleich ein- und ausstempeln. In Zeiten des Homeoffice bietet sich zudem die Möglichkeit an, dass sich Beschäftigte über eine App bzw. Webanwendung einloggen und so die Arbeitszeit aufzeichnen. Auch die Zeiterfassung in Excellisten oder in Papierform ist immer noch gang und gäbe.

Ganz grundsätzlich können die verschiedenen Möglichkeiten der Zeiterfassung datenschutzkonform umgesetzt werden, wobei es selbstverständlich dennoch nötig ist, das jeweilige System im Detail zu prüfen. Dabei gibt es jedoch eine wichtige Ausnahme: Zeiterfassungsgeräte, die biometrische Daten verwenden, also bspw. den Fingerabdruck oder einen Gesichtsscan, sind i. d. R. nicht zulässig. Das liegt daran, dass solche biometrischen Daten als besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO gelten und nur unter sehr strengen Voraussetzungen verarbeitet werden können und dürfen. Im Rahmen des Beschäftigungsverhältnisses ist jedenfalls keine Rechtsgrundlage einschlägig, die die Verarbeitung solcher sensiblen Daten erlaubt.

Datennutzung

Ein zweiter Punkt betrifft die Frage: Was genau passiert mit den erhobenen Daten?

Der Zweckbindungsgrundsatz gibt vor, dass die Daten nur zu dem Zweck verarbeitet werden dürfen, zu dem sie erhoben wurden. Das ist also erst einmal die Arbeitszeiterfassung an sich. Der Arbeitgeber soll prüfen und nachweisen können, dass die Arbeitnehmenden die Vorschriften zur Arbeitszeit einhalten. Also insbesondere, dass die tägliche Höchstarbeitszeit nicht überschritten und die tägliche Ruhezeit eingehalten wird. Neben dem Arbeitszeitgesetz können auch andere Gesetze relevant sein. So gibt bspw. das Mutterschutzgesetz vor, dass Schwangere und Stillende nicht nachts arbeiten dürfen.

Für Arbeitnehmende, die vertraglich vereinbart auf Stundenbasis bezahlt werden, können die Daten der Arbeitszeiterfassung außerdem genutzt werden, um den Lohn zu errechnen. Dann müssen die Beschäftigten darüber allerdings auch informiert werden. Ähnlich gelagert ist der Fall, wenn mit der Arbeitszeiterfassung kontrolliert werden soll, ob die Beschäftigten auch pünktlich anfangen und aufhören zu arbeiten. Auch über diese Datennutzung müssten die Personen informiert werden. Wenn Vertrauensarbeitszeit vereinbart wurde, sind solche Arbeitszeitprüfungen, die über die Prüfung der Einhaltung von gesetzlichen Vorgaben hinausgehen, wohl eher nicht ohne Weiteres möglich.

Darüber hinaus ist es denkbar, dass der Arbeitgeber die Daten genauestens analysiert und verschiedenste Rückschlüsse daraus zieht. Solche Analysezwecke sind vom ursprünglichen Zweck der Arbeitszeiterfassung – Prüfung und Nachweis von gesetzlichen Vorgaben – nicht mehr umschlossen. Es muss im Einzelfall geprüft werden, ob eine Rechtsgrundlage vorliegt. Und natürlich gilt es auch hier wieder, die Beschäftigten zu informieren.

Vertraulichkeit

Bei der Einführung eines neuen Systems zur Arbeitszeiterfassung ist zu beachten, dass nur ein sehr eingeschränkter Personenkreis auf die Zeiterfassungsdaten zugreifen darf: Die zuständigen Beschäftigten der Personalabteilung sowie ggf. die zuständigen Führungskräfte. Selbstverständlich dürfen auch die Beschäftigten ihre eigenen Daten einsehen. Darüber hinaus dürfen jedoch keine weiteren Personen auf horizontaler Ebene Einblick in die Daten erhalten.

Aufbewahrungsfrist

Es stellt sich außerdem die Frage, wie lange die Arbeitszeitnachweise aufzubewahren sind. Hierzu gibt es noch keine konkreten Vorschriften. Konkrete Vorgaben gibt es derzeit in § 16 Abs. 2 Arbeitszeitgesetz und § 17 Abs. 1 S. 1 Mindestlohngesetz. Diese haben schon bisher für Überstunden bzw. generell für bestimmte Branchen die Erfassung der Arbeitszeit vorgeschrieben. Die Nachweise sind für zwei Jahre aufzubewahren. Da die Zeiterfassung, die auf Grundlage der Entscheidung des BAG erfolgt, ähnlich gelagert ist, kann auch hier die Aufbewahrung für zwei Jahre als Richtwert herangezogen werden.

Ausblick

Mit der neuen Entscheidung des BAG kommt auf viele Unternehmen eine neue Herausforderung und ein großer Berg an Daten zu. Dabei müssen die Grundsätze des Datenschutzes beachtet werden. Es ist zu erwarten, dass sich Datenschützer – und auch die Aufsichtsbehörden – in Zukunft vermehrt mit dem Thema auseinandersetzen werden.