Datenschutz und Arbeitszeiterfassungssysteme

  1. Allgemein

Die elektronischen Systeme mit modernen Technologien bieten eine Vielzahl an Möglichkeiten. Bei der Verwendung sind die Arbeitnehmerinteressen zu berücksichtigen. Von gesetzlicher Seite bestehen keine konkreten Vorgaben, aber vereinzelte Reglungen wie gemäß § 16 Abs. 2 ArbZG zur Erfassung der Überstunden.

Sobald eine Zeiterfassung neu eingeführt oder in ein Zutrittskontrollsystem nachträglich integriert werden soll, sind bestimmte datenschutzrechtliche Vorgaben zu beachten. Denn als technische und organisatorische Maßnahme unterliegen diese Systeme gemäß § 9 BDSG in Verbindung mit der Anlage zu § 9 einer Zweckbindung und die erfassten Daten dürfen sich nur nach dem zuvor festgelegten Zweck verarbeitet werden.

In der Rechtsprechung (BAG v. 26.08. 2008 Az. 1 ABR 16/07) hat sich gezeigt, dass eine „Dauerüberwachung“ oder eine dauerhafte Bestimmung des Aufenthaltsortes unzulässig ist, da der Verhältnismäßigkeitsgrundsatz bzw. das Persönlichkeitsrecht dann gegenüber dem Arbeitnehmer nicht gewahrt wird. Dem Grundsatz nach soll ausgeschlossen werden, dass eine Leistungs- und Verhaltenskontrolle vorgenommen wird.

Zu beachten ist, dass der Betriebsrat zu involvieren ist und gemäß § 87Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht hat. Als Hilfestellung kann eine Betriebsvereinbarung mit den wichtigsten Regelungen geschaffen werden.

Im Vorfeld an den Einsatz ist zu bestimmen, welche Funktionen die Technologien ausführen können und welche davon auch tatsächlich benötigt werden. Des Weiteren müssen Regelungen über die Aufbewahrung und Löschung getroffen werden, um die Rechte der Betroffenen ausreichend zu schützen. Der Funktionsumfang und die daraus resultierenden datenschutzschutzrechtlichen Aspekte sind aus Tranzparenzgesichtspunkten zu dokumentieren.

Festgehalten werden sollte auch der Speicherzeitraum von zwei Jahren bei Überstunden gemäß § 16 Abs. 2 ArbZG und sich aus den weiteren Normen ergebenden Aufbewahrungsfristen, welche sich aus § 257 Abs. 1 Nr. 2, Abs. 4 HGB, § 147 Abs. 1 Nr. 2, Abs. 3 AO für Bruttolohnlisten auf sechs Jahre beschränken.

Hingegen grundsätzlich nicht benötigte Informationen sollten nicht erfasst werden, z. B. Toilettengänge.

  1. Erteilung von Zugriffsrechte

Die Vergabe von Zugriffsrechten sind nach dem „Need to know“- Prinzip auszurichten. Das bedeutet, dass nur die Mitarbeiter im Unternehmen eine Zugriffsberechtigung erhalten dürfen, die nach der auszuführenden Tätigkeit auch einen Zugriff benötigen. In der Regel sollten dies nur beim Personalverantwortlichen und ggf. vereinzelten Vorgesetzten der Fall sein oder eingeschränkt die Projektleiter im Rahmen eines Projektes beinhalten. Es wird empfohlen ein spezielles Berechtigungskonzept aufzustellen.

III. Auswertung der Daten

Die Auswertung der Daten eines Zeiterfassungssystems dürfen nur für den zuvor festgelegten Zweck vorgenommen werden. Soweit es möglich ist, sind die Daten dabei zu anonymisieren z. B. im Rahmen einer Projektauswertung oder einer Statistik zur Auslastung der Mitarbeiter. Sofern die Daten Informationen über Krankheiten und Erholungsurlauben beinhalten sind dies besondere personenbezogene Daten, welche höchstvertraulich in der Personalakte vor unbefugter Kenntnisname zu schützen sind. Hingegen solche Daten, welche für die unternehmensinterne Abwicklung der An- und Abwesenheit benötigt wird ist zulässig, sofern keine Details preisgegeben werden z. B. Grund der Abwesenheit.

  1. Vorabkontrolle

Aus datenschutzrechtlicher Sicht vor Einführung der Systeme eine Vorabkontrolle gemäß § 4 e BDSG durchzuführen. Diese ist durchzuführen, wenn personenbezogene bei einer Verarbeitung mit besonderen Risiken für die Rechte und Freiheiten der Betroffenen konfrontiert werden. Da im Rahmen der Zeiterfassung zumeist auch Krankheitsdaten erfasst werden ist die Durchführung einer entsprechenden datenschutzrechtlichen Kontrolle grundsätzlich unumgänglich.

Im Rahmen der Erfassung der Arbeitszeit können heutzutage auch andere Geräte betroffen sein, z. B. Technik in den Fahrzeugen bei dienstlich/privater Nutzung.

Tagged under:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Kontaktieren Sie uns

Office Radebeul
+ 49 (0)351 27220880

E-Mail:
info@datarea.de

Log in