Zeiterfassung DSGVO-konform umsetzen

Das Thema kurz und kompakt

• Zeiterfassung ist Pflicht, aber auch datenschutzrechtlich relevant: Arbeitszeitdaten sind personenbezogene Daten im Sinne der DSGVO. Arbeitgeber müssen bei der Erfassung, Speicherung und Verarbeitung die Grundsätze aus Art. 5 DSGVO einhalten – von der Zweckbindung bis zur Löschpflicht.
• Eine Einwilligung der Beschäftigten ist in der Regel nicht erforderlich: Die Rechtsgrundlage für die Zeiterfassung ergibt sich aus § 26 BDSG, Art. 6 Abs. 1 lit. c und lit. f DSGVO. Biometrische Verfahren wie Fingerabdruckscanner sind dagegen fast immer unzulässig.
• 2026 bringt neue Anforderungen: Die geplante Arbeitszeitreform schreibt die elektronische Zeiterfassung gesetzlich fest. Gleichzeitig prüfen europäische Datenschutzbehörden im Rahmen des Coordinated Enforcement Framework (CEF) gezielt die Informationspflichten bei der Zeiterfassung.
• Digitale Lösungen schaffen Rechtssicherheit: Software wie Nostradamus ermöglicht DSGVO-konforme Zeiterfassung mit automatischer Pausenberechnung, hierarchie-basierten Zugriffsrechten und Datenhaltung auf sicheren europäischen Servern – ab 3 € pro Mitarbeiter und Monat.

Warum Zeiterfassungsdaten dem Datenschutz unterliegen

Arbeitszeitdaten als personenbezogene Daten (Art. 4 DSGVO)

Sobald Sie die Arbeitszeit eines Mitarbeiters erfassen, erheben Sie personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Denn jeder Datensatz – Beginn, Ende, Pausenzeiten – ist einem konkreten Beschäftigten zugeordnet und damit einer identifizierbaren natürlichen Person. Das gilt unabhängig davon, ob Sie eine App, ein Zeiterfassungssystem, eine Excel-Tabelle oder einen Papierstundenzettel verwenden.

Damit unterliegt jede Form der Arbeitszeiterfassung den Regelungen der DSGVO und des Bundesdatenschutzgesetzes (BDSG). Für Arbeitgeber bedeutet das: Sie befinden sich in einem Spannungsfeld zwischen der Pflicht zur Zeiterfassung (EuGH-Urteil 2019, BAG-Beschluss 2022) und der Pflicht zum Schutz der Persönlichkeitsrechte ihrer Beschäftigten.

Welche Daten bei der Zeiterfassung erhoben werden – und welche nicht

Bei einer DSGVO-konformen Zeiterfassung werden typischerweise folgende Daten erhoben:

• Beginn und Ende der täglichen Arbeitszeit
• Pausenzeiten
• Überstunden
• Abwesenheiten (Urlaub, Krankheit, sonstige Fehlzeiten)
• Zuordnung zu Schichten oder Einsatzorten

Nicht erhoben werden dürfen dagegen Daten, die über den Zweck der Arbeitszeiterfassung hinausgehen – etwa wie oft jemand die Kaffeemaschine nutzt, wie lange Toilettenpausen dauern oder welche Websites während der Arbeitszeit besucht werden. Der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) setzt hier klare Grenzen.

Rechtsgrundlagen: Auf welcher Basis dürfen Sie Arbeitszeiten erfassen?

Eine der häufigsten Fragen lautet: Darf ich die Arbeitszeiten meiner Mitarbeitenden überhaupt erfassen? Die klare Antwort: Ja – und Sie müssen es sogar. Für die datenschutzrechtliche Zulässigkeit stehen Ihnen gleich drei parallele Rechtsgrundlagen zur Verfügung.

§ 26 Abs. 1 BDSG – Durchführung des Beschäftigungsverhältnisses

Die Datenverarbeitung im Rahmen der Zeiterfassung ist in der Regel für die Durchführung des Beschäftigungsverhältnisses erforderlich. Ohne Arbeitszeitdaten können Sie weder Löhne korrekt abrechnen noch Überstunden nachvollziehen oder Urlaubsansprüche berechnen. § 26 Abs. 1 BDSG bildet damit die zentrale nationale Rechtsgrundlage.

Art. 6 Abs. 1 lit. c DSGVO – Gesetzliche Pflicht

Nach § 16 Abs. 2 ArbZG sind Arbeitgeber zur Aufzeichnung von Arbeitszeiten über 8 Stunden pro Werktag verpflichtet. Seit dem BAG-Beschluss vom 13. September 2022 (1 ABR 22/21) gilt die Pflicht zur systematischen Erfassung der gesamten Arbeitszeit auf Grundlage von § 3 Abs. 2 Nr. 1 ArbSchG. Damit greift auch Art. 6 Abs. 1 lit. c DSGVO – die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.

Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse

Ergänzend hat der Arbeitgeber ein berechtigtes Interesse an der Zeiterfassung – etwa zur Steuerung des Personaleinsatzes, zur Vermeidung von Überbesetzung oder zur Einhaltung von Ruhezeiten. Dieses Interesse überwiegt in der Regel die Interessen der Beschäftigten, da die Erfassung keine unverhältnismäßige Einschränkung darstellt.

Brauchen Sie eine Einwilligung? (Mythos-Aufklärung)

Nein. Da die Zeiterfassung auf gesetzlicher Grundlage oder zur Durchführung des Arbeitsverhältnisses erfolgt, ist eine Einwilligung der Beschäftigten in der Regel nicht erforderlich. Dieses Missverständnis hält sich hartnäckig, führt aber in die Irre: Eine Einwilligung im Beschäftigungsverhältnis ist ohnehin problematisch, da aufgrund des Abhängigkeitsverhältnisses Zweifel an der Freiwilligkeit bestehen. Verlassen Sie sich stattdessen auf die oben genannten Rechtsgrundlagen.

Die DSGVO-Grundsätze bei der Zeiterfassung (Art. 5 DSGVO)

Die Tatsache, dass Sie Arbeitszeiten erfassen dürfen und müssen, gibt Ihnen keinen Freibrief. Art. 5 DSGVO definiert verbindliche Grundsätze, die Sie bei jeder Verarbeitung einhalten müssen.

Zweckbindung – Zeitdaten sind keine Leistungskontrolle

Arbeitszeitdaten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden: Arbeitszeitdokumentation, Lohnabrechnung, Einhaltung des Arbeitszeitgesetzes und Arbeitsschutz. Eine Nutzung zur umfangreichen Leistungs- oder Verhaltenskontrolle – etwa um zu prüfen, wer am häufigsten zu spät kommt – ist ohne eigene Rechtsgrundlage unzulässig. Jede zusätzliche Nutzung erfordert eine separate rechtliche Grundlage oder eine explizite Einwilligung.

Datenminimierung – Nur erfassen, was nötig ist

Erfassen Sie ausschließlich die Daten, die für den definierten Zweck erforderlich sind: Beginn, Ende und Pausen der täglichen Arbeitszeit. Standortdaten, Bewegungsprofile oder detaillierte Tätigkeitsprotokolle gehen in den meisten Fällen über das Erforderliche hinaus.

Transparenz – So informieren Sie Ihre Beschäftigten korrekt

Nach Art. 13 und 14 DSGVO müssen Sie Ihre Beschäftigten vor Beginn der Datenverarbeitung informieren. Konkret bedeutet das: Jeder Mitarbeitende muss wissen, welche Daten erfasst werden, zu welchem Zweck, auf welcher Rechtsgrundlage, wie lange die Daten gespeichert werden und welche Rechte (Auskunft, Löschung, Berichtigung) bestehen. Diese Information muss in klarer, verständlicher Sprache erfolgen – juristischer Fachjargon ist zu vermeiden.

Praxis-Tipp: Erstellen Sie eine separate Datenschutzinformation zur Zeiterfassung und händigen Sie diese jedem Beschäftigten bei Einstellung oder bei Einführung des Systems aus. Angesichts der koordinierten Datenschutzprüfung 2026 (CEF) sollten Sie bestehende Datenschutzhinweise jetzt auf Vollständigkeit und Verständlichkeit prüfen.

Speicherbegrenzung – Wann Daten gelöscht werden müssen

Personenbezogene Daten dürfen nicht unbegrenzt gespeichert werden. Nach Zweckentfall und Ablauf gesetzlicher Aufbewahrungsfristen müssen sie gelöscht werden. Die konkreten Fristen erläutern wir im nächsten Abschnitt.

Integrität und Vertraulichkeit – Datensicherheit gewährleisten

Arbeitszeitdaten müssen durch geeignete technische und organisatorische Maßnahmen (TOMs) geschützt werden. Das bedeutet: verschlüsselte Übertragung, Zugriffsschutz durch Passwörter oder PINs, regelmäßige Backups und ein dokumentiertes Berechtigungskonzept. Papierstundenzettel, die offen am Schwarzen Brett hängen, oder ungeschützte Excel-Dateien auf einem Netzlaufwerk erfüllen diese Anforderungen nicht.

Speicherfristen und Löschkonzept: So setzen Sie es richtig um

Die wichtigsten Fristen im Überblick

Warum ein Löschkonzept Pflicht ist – und wie Sie es aufsetzen

Ein Löschkonzept wird in der Praxis fast immer vergessen – dabei ist es eine zentrale DSGVO-Anforderung. Ohne strukturierten Löschplan sammeln sich über Jahre hinweg Arbeitszeitdaten von längst ausgeschiedenen Mitarbeitenden an. Das ist nicht nur ein Verstoß gegen die DSGVO, sondern kann bei Prüfungen durch Datenschutzbehörden zu empfindlichen Sanktionen führen.

So gehen Sie vor:

• Schritt 1: Kategorisieren Sie Ihre Zeiterfassungsdaten nach den oben genannten Fristen.
• Schritt 2: Definieren Sie für jede Kategorie einen konkreten Löschzeitpunkt.
• Schritt 3: Automatisieren Sie die Löschung – idealerweise direkt in Ihrer Zeiterfassungssoftware. Manuelle Löschung in Excel-Tabellen ist fehleranfällig und kaum nachweisbar.
• Schritt 4: Dokumentieren Sie das Löschkonzept schriftlich und nehmen Sie es in Ihr Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO auf.

Rechenbeispiel: Datenvolumen eines Gastronomiebetriebs

Stellen Sie sich ein Restaurant mit 25 Mitarbeitenden vor (davon 15 in Teilzeit oder als Minijobber). Täglich werden 25 Datensätze mit Arbeitsbeginn, -ende, Pausen und Schichtzuordnung erhoben. Das ergibt:

• Pro Monat: ca. 750 Datensätze
• Pro Jahr: ca. 9.000 Datensätze
• In 2 Jahren: ca. 18.000 Datensätze, die nach Fristablauf gelöscht werden müssen

Ohne Löschkonzept liegen nach wenigen Jahren Daten von Dutzenden ehemaliger Mitarbeitender im System – ein klarer DSGVO-Verstoß. Ohne digitale Lösung fehlen Audit-Trails: Wer hat wann welche Änderung vorgenommen? Wann wurde was gelöscht? Diese Nachweispflicht lässt sich mit manuell geführten Excel-Tabellen kaum erfüllen.

Kostenlose Zeiterfassungs-Vorlage als Übergangslösung

• Sofort einsetzbar für die gesetzeskonforme Dokumentation
• Übersichtliche Erfassung von Arbeitszeiten, Pausen und Überstunden
• Ideal als Brückenlösung bis zur Einführung einer digitalen Zeiterfassung

Jetzt kostenlos herunterladen

Sonderfälle: Biometrische Zeiterfassung, GPS-Tracking und mehr

Fingerabdruck und Gesichtserkennung – warum das fast nie zulässig ist

Biometrische Daten wie Fingerabdrücke oder Gesichtsscans gelten nach Art. 9 DSGVO als besondere Kategorien personenbezogener Daten. Ihre Verarbeitung ist grundsätzlich verboten – es sei denn, ein enger Ausnahmetatbestand greift. Im Rahmen der Arbeitszeiterfassung gibt es keine gesetzliche Grundlage, die den Einsatz biometrischer Verfahren erlaubt.

Theoretisch wäre eine freiwillige, informierte Einwilligung der Beschäftigten denkbar. In der Praxis scheitert das jedoch regelmäßig: Aufgrund des Abhängigkeitsverhältnisses im Arbeitsverhältnis bestehen erhebliche Zweifel an der Freiwilligkeit. Arbeitsgerichte – darunter das LAG Berlin-Brandenburg – haben biometrische Zeiterfassung wiederholt als unverhältnismäßig eingestuft.

Empfehlung: Verzichten Sie auf biometrische Verfahren. Einfache Alternativen wie PIN-Code, Chip oder App-basierte Zeiterfassung sind datenschutzrechtlich unproblematisch und in der Praxis genauso zuverlässig.

GPS-Zeiterfassung im Außendienst – Voraussetzungen und Grenzen

Bei Außendienstmitarbeitenden oder mobilen Teams kann eine standortbezogene Zeiterfassung sinnvoll sein. Datenschutzrechtlich ist GPS-Tracking jedoch an strenge Voraussetzungen geknüpft:

• Es muss ein konkreter, legitimer Zweck vorliegen (z. B. Nachweis der Anwesenheit auf einer Baustelle).
• Die Erfassung muss auf die Arbeitszeit beschränkt sein – ein Tracking außerhalb der Arbeitszeit ist unzulässig.
• Beschäftigte müssen die Möglichkeit haben, das Tracking ein- und auszuschalten.
• In vielen Fällen ist eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO erforderlich.

Erfassungsmethoden im DSGVO-Vergleich

Wer darf Zeiterfassungsdaten einsehen? Zugriffsrechte richtig regeln

Das Need-to-know-Prinzip in der Praxis

Nur ein sehr eingeschränkter Personenkreis darf auf Zeiterfassungsdaten zugreifen. Das ergibt sich direkt aus dem Grundsatz der Datenminimierung und der Vertraulichkeit nach Art. 5 DSGVO. In der Praxis bedeutet das: Nicht jede Führungskraft und erst recht nicht jeder Kollege darf die Arbeitszeiten anderer einsehen.

Rollenkonzept: Wer sieht was?

Praxis-Tipp: Achten Sie bei der Auswahl Ihrer Zeiterfassungssoftware darauf, dass hierarchie-basierte Berechtigungen konfigurierbar sind. Nur so stellen Sie sicher, dass das Need-to-know-Prinzip technisch durchgesetzt wird und nicht nur auf dem Papier steht.

Auftragsverarbeitungsvertrag (AVV) bei Cloud-Zeiterfassung

Wann ein AVV Pflicht ist

Nutzen Sie eine cloud-basierte Zeiterfassungssoftware – und das tun die meisten Unternehmen heute -, verarbeitet der Softwareanbieter als externer Dienstleister personenbezogene Daten Ihrer Beschäftigten. Nach Art. 28 DSGVO ist in diesem Fall ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich. Das gilt für jede SaaS-Lösung, bei der Daten auf Servern des Anbieters gespeichert werden.

Wichtig: Der AVV ist keine optionale Formalität, sondern eine gesetzliche Pflicht. Fehlt er, liegt bereits ein DSGVO-Verstoß vor – unabhängig davon, wie sicher die Software technisch ist.

Was im AVV stehen muss

Der AVV regelt unter anderem:

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen (Arbeitgeber)
• Technische und organisatorische Maßnahmen (TOMs) des Auftragsverarbeiters
• Regelungen zu Unterauftragsverarbeitern
• Löschung oder Rückgabe der Daten nach Vertragsende

Serverstandort und Zertifizierungen – worauf Sie achten sollten

Achten Sie darauf, dass die Daten auf Servern innerhalb der EU/des EWR gespeichert werden. Bei Anbietern mit Servern in Drittländern (z. B. USA) gelten verschärfte Anforderungen an die Datenübermittlung. DSGVO-Konformität, ISO-Zertifizierungen und transparente Sicherheitskonzepte sind wichtige Auswahlkriterien.

Betriebsrat und Mitbestimmung bei der Zeiterfassung

§ 87 Abs. 1 Nr. 6 BetrVG – Das Mitbestimmungsrecht

Existiert in Ihrem Betrieb ein Betriebsrat, hat dieser bei der Einführung und Anwendung von Zeiterfassungssystemen ein zwingendes Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Denn Zeiterfassungssysteme sind technische Einrichtungen, die zumindest theoretisch geeignet sind, das Verhalten der Beschäftigten zu überwachen. Ob Sie eine solche Überwachung tatsächlich beabsichtigen, spielt keine Rolle.

Ohne Zustimmung des Betriebsrats dürfen Sie kein neues Zeiterfassungssystem einführen. Eine Missachtung kann zur Unwirksamkeit der Einführung führen.

Betriebsvereinbarung zur Zeiterfassung – was hineingehört

Die beste Grundlage für eine rechtssichere Zeiterfassung ist eine Betriebsvereinbarung. Darin sollten Sie folgende Punkte regeln:

• Zweck der Zeiterfassung
• Art der erfassten Daten
• Eingesetztes System und Erfassungsmethode
• Zugriffsberechtigungen (wer darf was sehen?)
• Aufbewahrungsfristen und Löschkonzept
• Rechte der Beschäftigten (Einsicht, Korrektur, Beschwerde)
• Ausschluss der Leistungs- und Verhaltenskontrolle
• Regelungen für Sonderfälle (Homeoffice, Außendienst, Teilzeit)

Datenschutz-Folgenabschätzung (DSFA) – wann sie nötig ist

Nicht jede Zeiterfassung erfordert eine DSFA nach Art. 35 DSGVO. Aber in bestimmten Fällen ist sie zwingend vorgeschrieben – nämlich dann, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Beschäftigten mit sich bringt.

Typische Auslöser für eine DSFA bei der Zeiterfassung:

• Biometrische Verfahren (Fingerabdruck, Gesichtserkennung) – hier ist eine DSFA definitiv erforderlich
• GPS-Tracking oder standortbezogene Erfassung
• Umfangreiche Verhaltensauswertung – wenn Zeiterfassungsdaten systematisch zur Bewertung der Arbeitstätigkeit herangezogen werden
• Neue Technologien in Verbindung mit umfangreicher Datenverarbeitung

Für eine Standard-Zeiterfassung per App oder Terminal, die lediglich Beginn, Ende und Pausen dokumentiert, ist eine DSFA in der Regel nicht erforderlich. Im Zweifel sollten Sie Ihren Datenschutzbeauftragten einbeziehen.

Aktuell 2026: Arbeitszeitreform und CEF-Datenschutzprüfung

Was die Arbeitszeitreform 2026 für den Datenschutz bedeutet

Die Pflicht zur Arbeitszeiterfassung besteht bereits seit dem BAG-Beschluss von September 2022. Was bislang fehlt, ist eine klare gesetzliche Ausgestaltung. Der Koalitionsvertrag 2025 von CDU/CSU und SPD sieht die Einführung einer Pflicht zur elektronischen Zeiterfassung vor. Die Bundesregierung plant, diese Vorgaben im Laufe des Jahres 2026 in das Arbeitszeitgesetz zu integrieren.

Für den Datenschutz bedeutet das: Elektronische Systeme verarbeiten personenbezogene Daten zwangsläufig digital – und damit steigen die Anforderungen an DSGVO-Konformität, Datensicherheit und Löschkonzepte. Wer bislang mit Papier oder informellen Methoden arbeitet, muss sich auf eine vollständig digitale, datenschutzkonforme Lösung umstellen.

Übergangsfristen nach Betriebsgröße

Wichtig: Auch wenn Kleinstbetriebe mit weniger als 10 Beschäftigten von der elektronischen Pflicht ausgenommen sind, gilt die grundsätzliche Pflicht zur Arbeitszeiterfassung für alle Arbeitgeber und alle Arbeitnehmer – unabhängig von Branche oder Unternehmensgröße.

CEF-Prüfung 2026: Warum Ihre Datenschutzhinweise jetzt auf dem Prüfstand stehen

Im Rahmen des Coordinated Enforcement Framework (CEF) prüfen europäische Datenschutzbehörden 2026 gezielt die Einhaltung der Art. 12 bis 14 DSGVO – also die Informationspflichten gegenüber Betroffenen. Die Arbeitszeiterfassung steht dabei besonders im Fokus.

Was das für Sie bedeutet:

• Ihre Datenschutzhinweise zur Zeiterfassung müssen vollständig, verständlich und aktuell sein.
• Prozesse für Auskunfts- und Löschungsanträge von Beschäftigten müssen funktionsfähig und leicht zugänglich sein.
• Falls erforderlich, muss eine Datenschutz-Folgenabschätzung vorliegen.
• Unklare oder fehlende Datenschutzhinweise können zu empfindlichen Sanktionen führen.

VG Hamburg (November 2025): Keine Ausnahmen für besondere Berufsgruppen

In einem Urteil vom 18. November 2025 (Ref. 21 K 1202/25) bestätigte das Verwaltungsgericht Hamburg, dass auch hochqualifizierte Mitarbeitende – im konkreten Fall angestellte Anwälte einer internationalen Kanzlei – den allgemeinen Aufzeichnungspflichten unterliegen. Die Argumentation, bestimmte Berufsgruppen seien von der Zeiterfassungspflicht ausgenommen, wurde zurückgewiesen. Für leitende Angestellte gelten lediglich die spezielleren Regelungen des § 5 Abs. 3 BetrVG.

Was bei Verstößen droht – und wie Sie Risiken minimieren

Bußgelder nach DSGVO

Bei Verstößen gegen die DSGVO – etwa fehlende Datenschutzhinweise, ein fehlendes Löschkonzept, unzureichende Zugriffssteuerung oder ein fehlender AVV – drohen nach Art. 83 Abs. 5 DSGVO Bußgelder von bis zu 20 Mio. € oder bis zu 4 % des weltweit erzielten Jahresumsatzes. Auch wenn solche Höchststrafen typischerweise Großkonzerne treffen, verhängen Datenschutzbehörden zunehmend auch fünf- bis sechsstellige Bußgelder gegen mittelständische Unternehmen.

Sanktionen nach Arbeitsschutzrecht

Verstöße gegen die allgemeine Zeiterfassungspflicht sind derzeit nicht direkt bußgeldbewehrt. Allerdings können die Arbeitsschutzbehörden der Länder Maßnahmen anordnen. Wird einer solchen Anordnung zuwidergehandelt, drohen Bußgelder von bis zu 30.000 € nach dem Arbeitsschutzgesetz. Mit der geplanten Gesetzesnovelle 2026 ist zu erwarten, dass die Sanktionsmöglichkeiten weiter verschärft werden.

Reputationsrisiko nicht unterschätzen

Neben finanziellen Strafen ist der Reputationsschaden bei Datenschutzverstößen erheblich. Öffentliche Abmahnungen, negative Presseberichte oder Beschwerden von Beschäftigten bei der Datenschutzaufsichtsbehörde können das Vertrauen von Mitarbeitenden und Bewerbern nachhaltig beschädigen – gerade in Branchen mit Fachkräftemangel ein ernstzunehmendes Risiko.

Checkliste: DSGVO-konforme Zeiterfassung in 10 Schritten

• 1. Rechtsgrundlage dokumentieren: Halten Sie schriftlich fest, auf welcher Rechtsgrundlage (§ 26 BDSG, Art. 6 Abs. 1 lit. c/f DSGVO) Sie Arbeitszeiten erfassen.
• 2. Datenschutzhinweis erstellen: Informieren Sie alle Beschäftigten gemäß Art. 13 DSGVO über Zweck, Rechtsgrundlage, Speicherdauer und ihre Rechte – in klarer, verständlicher Sprache.
• 3. Verzeichnis der Verarbeitungstätigkeiten aktualisieren: Nehmen Sie die Zeiterfassung als eigene Verarbeitungstätigkeit in Ihr VVT nach Art. 30 DSGVO auf.
• 4. Datenminimierung sicherstellen: Erfassen Sie nur Beginn, Ende, Pausen und ggf. Schichtzuordnung – keine darüber hinausgehenden Daten.
• 5. Zugriffsrechte definieren: Richten Sie ein Rollen- und Rechtekonzept ein, das dem Need-to-know-Prinzip folgt.
• 6. Löschkonzept erstellen: Definieren Sie Löschfristen (2 Jahre ArbZG, 6 Jahre steuerlich) und automatisieren Sie die Löschung.
• 7. AVV abschließen: Bei Nutzung einer Cloud-Zeiterfassungssoftware ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO Pflicht.
• 8. DSFA prüfen: Klären Sie, ob für Ihr System eine Datenschutz-Folgenabschätzung erforderlich ist (GPS, Biometrie, umfangreiche Auswertung).
• 9. Betriebsrat einbinden: Informieren und beteiligen Sie den Betriebsrat rechtzeitig – idealerweise über eine Betriebsvereinbarung.
• 10. Regelmäßig überprüfen: Prüfen Sie Ihre Datenschutzhinweise, Löschroutinen und Zugriffsrechte mindestens einmal jährlich auf Aktualität.

7 Mythen zur Zeiterfassung und DSGVO – aufgeklärt

Branchenhinweise: Worauf Sie in Ihrer Branche besonders achten müssen

Gastronomie und Hotellerie

In der Gastronomie und Hotellerie treffen besonders viele Faktoren aufeinander: hoher Anteil an Minijobbern und Teilzeitkräften, stark wechselnde Schichten, saisonale Schwankungen und eine hohe Personalfluktuation. Hinzu kommt die Dokumentationspflicht nach dem Mindestlohngesetz (MiLoG), die für geringfügig Beschäftigte und bestimmte Wirtschaftszweige besondere Aufzeichnungspflichten vorsieht.

Gerade hier ist ein automatisiertes Löschkonzept unverzichtbar: Bei ständig wechselnden Aushilfen sammeln sich ohne Routine schnell Altdaten an. Gleichzeitig müssen Dienstpläne mit der Zeiterfassung verknüpft sein, damit Abweichungen zwischen Soll- und Ist-Zeiten sofort erkannt werden.

Einzelhandel

Viele Teilzeitkräfte, Studierende und flexible Einsatzzeiten prägen den Einzelhandel. Die Herausforderung: Jeder Mitarbeitende hat individuelle Arbeitszeiten, die korrekt erfasst und datenschutzkonform verwaltet werden müssen. Besonders bei der Samstagsarbeit und wechselnden Öffnungszeiten ist eine digitale Personalplanung mit integrierter Zeiterfassung deutlich effizienter als manuelle Methoden.

Sport, Freizeit und Veranstaltungen

Saisonalität, projektbasierte Arbeit und stark schwankende Belegschaftsgrößen machen die Zeiterfassung in diesen Branchen besonders komplex. Viele geringfügig Beschäftigte und Abrufkräfte bedeuten: hohe Fluktuation, viele Datensätze, kurze Beschäftigungsverhältnisse. Hier ist ein funktionierendes Löschkonzept besonders wichtig, da Daten ausgeschiedener Mitarbeitender sonst über Jahre im System verbleiben.

Zeiterfassung DSGVO-konform umsetzen – mit der richtigen Software

Die Anforderungen an eine DSGVO-konforme Zeiterfassung sind vielfältig: Zugriffssteuerung, automatische Löschfristen, Audit-Trails, verschlüsselte Datenübertragung, AVV-Bereitschaft und Datenhaltung auf europäischen Servern. All das lässt sich mit manuellen Methoden kaum zuverlässig umsetzen.

Eine professionelle digitale Zeiterfassungslösung wie Nostradamus deckt diese Anforderungen ab: Beschäftigte erfassen ihre Arbeitszeiten per Mitarbeiter-App oder stationärem Zeiterfassungssystem mit PIN-Code oder Chip. Das System berechnet Pausen automatisch, erkennt Abweichungen und stellt über hierarchie-basierte Berechtigungen sicher, dass nur berechtigte Personen Zugriff auf sensible Daten haben. Alle Daten werden DSGVO-konform auf sicheren europäischen Servern gespeichert.

Durch die nahtlose Integration mit DATEV und gängigen Kassensystemen entfällt doppelte Dateneingabe bei der Lohnvorbereitung. Die Implementierung ist in unter einer Woche abgeschlossen, und Preise starten ab 3 € pro Mitarbeiter und Monat.

Fazit: Handeln Sie jetzt – bevor die Prüfer kommen

Die DSGVO-konforme Zeiterfassung ist kein optionales Nice-to-have, sondern eine rechtliche Pflicht, die 2026 durch die geplante Arbeitszeitreform und die koordinierte CEF-Datenschutzprüfung zusätzlich an Dringlichkeit gewinnt. Die gute Nachricht: Mit den richtigen Maßnahmen – einem klaren Löschkonzept, definierten Zugriffsrechten, vollständigen Datenschutzhinweisen und einer geeigneten Software – schaffen Sie Rechtssicherheit und reduzieren gleichzeitig den administrativen Aufwand.

Über 60 % der deutschen Unternehmen sind laut Branchenstudien noch nicht vollständig compliant. Warten Sie nicht, bis eine Prüfung oder eine Mitarbeiterbeschwerde den Handlungsdruck erzeugt. Nostradamus unterstützt bereits über 2.700 Standorte bei der rechtskonformen Zeiterfassung und Dienstplanung – von der Gastronomie über den Einzelhandel bis zu Sport- und Freizeitbetrieben.

Jetzt kostenlose Demo anfragen und sehen, wie DSGVO-konforme Zeiterfassung in der Praxis funktioniert.

FAQ: Häufige Fragen zu Zeiterfassung und Datenschutz

Ist digitale Zeiterfassung DSGVO-konform?

Ja, digitale Zeiterfassung ist grundsätzlich DSGVO-konform – vorausgesetzt, Sie halten die Grundsätze der Datenverarbeitung ein: Zweckbindung, Datenminimierung, Transparenz, Speicherbegrenzung und Datensicherheit. Entscheidend ist, dass Sie die richtige Rechtsgrundlage dokumentieren, Zugriffsrechte einschränken, ein Löschkonzept umsetzen und bei Cloud-Software einen AVV abschließen.

Brauche ich eine Einwilligung meiner Beschäftigten für die Zeiterfassung?

In der Regel nicht. Die Zeiterfassung stützt sich auf § 26 Abs. 1 BDSG (Durchführung des Beschäftigungsverhältnisses) und Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflicht). Eine Einwilligung ist nur in Ausnahmefällen relevant – etwa wenn biometrische Daten erhoben werden sollen, was jedoch grundsätzlich nicht empfohlen wird.

Wie lange darf ich Arbeitszeitdaten speichern?

Der Richtwert für allgemeine Arbeitszeitdaten beträgt 2 Jahre (abgeleitet aus § 16 Abs. 2 ArbZG). Lohnrelevante Daten müssen nach § 147 AO 6 Jahre aufbewahrt werden, Buchungsbelege sogar 10 Jahre. Nach Ablauf der jeweils einschlägigen Frist müssen die Daten gelöscht werden.

Darf ich Fingerabdrücke für die Zeiterfassung nutzen?

In der Regel nein. Fingerabdrücke sind biometrische Daten und fallen unter Art. 9 DSGVO (besondere Kategorien personenbezogener Daten). Im Beschäftigungsverhältnis fehlt es an einer ausreichenden Rechtsgrundlage. Einfache Alternativen wie PIN-Code, Chip oder App sind datenschutzrechtlich unproblematisch und werden empfohlen.

Brauche ich einen AVV für meine Zeiterfassungs-Software?

Ja, wenn Sie eine cloud-basierte Software nutzen. Der Softwareanbieter verarbeitet als Auftragsverarbeiter personenbezogene Daten Ihrer Beschäftigten. Ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO ist in diesem Fall zwingend erforderlich. Seriöse Anbieter stellen diesen standardmäßig zur Verfügung.

Was ändert sich 2026 durch die Arbeitszeitreform?

Die Bundesregierung plant, die Pflicht zur elektronischen Zeiterfassung gesetzlich zu verankern. Für Betriebe mit mehr als 10 Beschäftigten wird die elektronische Erfassung verpflichtend, mit gestaffelten Übergangsfristen je nach Betriebsgröße (1 bis 5 Jahre). Gleichzeitig prüfen europäische Datenschutzbehörden 2026 im Rahmen des CEF gezielt die Informationspflichten bei der Zeiterfassung.

Wie aufwändig ist die Einführung einer digitalen Zeiterfassung?

Deutlich weniger aufwändig als viele erwarten. Moderne Cloud-Lösungen wie Nostradamus lassen sich in unter einer Woche implementieren. Mitarbeitende erfassen ihre Zeiten per App oder Terminal mit wenigen Klicks. Der ROI zeigt sich typischerweise innerhalb von 2 bis 3 Monaten – durch Zeiteinsparung bei der Planung und optimierte Personalkosten.

Muss der Betriebsrat bei der Einführung zustimmen?

Ja. Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein zwingendes Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die zur Überwachung von Verhalten oder Leistung geeignet sind. Zeiterfassungssysteme fallen darunter. Binden Sie den Betriebsrat frühzeitig ein und regeln Sie die Details idealerweise in einer Betriebsvereinbarung.