Zeiterfassung Apps Zum Vergleich

Datenschutz

Zeiterfassung und DSGVO: Welche Daten erfasst werden dürfen

Stempeldaten sind Personaldaten. Was ein Zeiterfassungssystem speichern darf, wo die roten Linien verlaufen und woran sich ein datenschutzkonformes System erkennen lässt – der Überblick für Arbeitgeber.

Ein Zeiterfassungssystem darf nur die Daten verarbeiten, die es für seinen Zweck braucht: Beginn, Ende, Dauer und Pausen. Rechtsgrundlagen sind die gesetzlichen Aufzeichnungspflichten und § 26 BDSG. Unzulässig sind dauerhafte Ortung, heimliche Auswertungen und – ohne Einwilligung – biometrische Merkmale. Beschäftigte müssen informiert werden und haben ein Auskunftsrecht.

Warum Stempeldaten ein Datenschutz-Thema sind

Jede Stempelbuchung verrät, wann eine bestimmte Person gearbeitet hat – Arbeitszeitdaten sind damit personenbezogene Daten im Sinne der DSGVO. Verarbeitet werden dürfen sie trotzdem, und zwar ohne Einwilligung: Rechtsgrundlage sind die gesetzlichen Aufzeichnungspflichten (Artikel 6 Absatz 1 Buchstabe c DSGVO in Verbindung mit § 16 ArbZG, § 17 MiLoG und § 3 ArbSchG) sowie § 26 BDSG, der die Verarbeitung für die Durchführung des Beschäftigungsverhältnisses erlaubt. Die Erlaubnis ist aber kein Freibrief – sie reicht exakt so weit wie der Zweck.

Erlaubt oder tabu: die Datenfrage im Überblick

Datenverarbeitung in der Zeiterfassung (Stand 18. Juli 2026)
VerarbeitungZulässig?Einordnung
Beginn, Ende, Dauer, PausenjaKern der gesetzlichen Pflicht
Standortprüfung im Stempelmomentjapunktuell, kein Bewegungsprofil
Dauerhafte Ortung während der Arbeitneinunverhältnismäßig, Zweck überschritten
Fingerabdruck am Terminalnur mit Einwilligungbiometrisches Merkmal nach Art. 9 DSGVO
Auswertung zur LeistungsbewertungneinZweckentfremdung der Zeitdaten

Fünf DSGVO-Grundsätze, übersetzt für die Stempeluhr

  1. Zweckbindung: Die Daten dienen der Arbeitszeitdokumentation und Abrechnung – nicht der umfassenden Verhaltens- oder Leistungskontrolle und nicht dem Erstellen von Bewegungsprofilen.
  2. Datenminimierung: Erhoben wird nur, was die Erfassung braucht; Zugriff erhalten nach dem Need-to-know-Prinzip nur Vorgesetzte und Personalabteilung.
  3. Transparenz: Beschäftigte müssen nach Artikel 13 DSGVO wissen, welche Daten das System speichert und wer sie einsieht; nach Artikel 15 können sie Auskunft verlangen.
  4. Speicherbegrenzung: Als Richtwert gelten zwei Jahre analog zu den Aufbewahrungspflichten; lohn- und steuerrelevante Unterlagen bleiben nach § 147 AO länger – ein Löschkonzept regelt beides.
  5. Technische Sicherheit: Artikel 32 DSGVO verlangt Zugriffskontrollen, Protokollierung und Schutz vor Manipulation – im Alltag heißt das Rollenrechte und ein Änderungsprotokoll für Korrekturen.

Biometrie und Dauerüberwachung: die roten Linien

Zwei Fallgruppen sorgen regelmäßig für Streit. Die erste ist der Fingerabdruck-Scanner: Biometrische Daten gehören zu den besonders geschützten Kategorien nach Artikel 9 DSGVO, und das Landesarbeitsgericht Berlin-Brandenburg hat entschieden, dass Beschäftigte eine Fingerabdruck-Zeiterfassung nicht dulden müssen – RFID-Chip, PIN oder App erfüllen denselben Zweck ohne sensible Daten. Welche Identifikationsverfahren sich am Terminal bewähren, zeigt der Beitrag Digitale Stempeluhr. Die zweite rote Linie ist die permanente Überwachung: Eine lückenlose Kontrolle der Beschäftigten ist unzulässig, punktuelle Stichprobenkontrollen hat das Bundesarbeitsgericht dagegen gebilligt (Beschluss vom 26.08.2008, 1 ABR 16/07). Für die Standortfrage heißt das: Geofencing darf prüfen, ob jemand beim Stempeln am Arbeitsort ist – mehr nicht.

Wer darf die Daten überhaupt sehen?

Neben dem Was regelt der Datenschutz auch das Wer. Beschäftigte sehen ihre eigenen Zeiten – dieses Einsichtsrecht gehört zum Pflichtprogramm und soll nach dem Referentenentwurf 2026 sogar um einen ausdrücklichen Kopieanspruch ergänzt werden. Führungskräfte greifen nur auf ihr Team zu, die Personalabteilung auf das, was Abrechnung und Nachweis erfordern. Auswertungen über die ganze Belegschaft sollten möglichst aggregiert erfolgen, ohne Einzelpersonen bloßzustellen. Gibt es einen Betriebsrat, gehören Zugriffsregeln, Auswertungszwecke und Löschfristen in eine Betriebsvereinbarung – die Ausgestaltung des Systems unterliegt seiner Mitbestimmung. Je feiner das Rechtekonzept des Systems, desto leichter lassen sich diese Vorgaben ohne Zusatzaufwand abbilden.

Was das für die Systemwahl bedeutet

Datenschutz entscheidet sich weniger in der Datenschutzerklärung als in den Funktionen. Ein taugliches System bringt Rollen- und Rechtekonzepte mit, protokolliert nachträgliche Korrekturen, erlaubt Beschäftigten den Blick auf die eigenen Zeiten und bietet ein Löschkonzept. Auch der Referentenentwurf vom 18. Juni 2026 – Stand heute ein Entwurf, kein Gesetz – verlangt ausdrücklich nachvollziehbare, manipulationssichere und DSGVO-konforme elektronische Systeme. Wer bei der Auswahl darauf achtet, erfüllt geltendes Recht und wäre auf die Reform vorbereitet. Verstöße sind teuer: Der DSGVO-Bußgeldrahmen reicht bis 20 Millionen € oder vier Prozent des weltweiten Jahresumsatzes. Welche Rechte Beschäftigte im Einzelnen haben, bündelt die Seite Zeiterfassung für Mitarbeiter; die rechtlichen Grundlagen der Erfassungspflicht erklärt der Beitrag zum BAG-Urteil, den Reform-Überblick gibt der Ratgeber Digitale Zeiterfassung.

Häufige Fragen

Wie lange dürfen Zeiterfassungsdaten gespeichert werden?

Als Richtwert gelten zwei Jahre – angelehnt an die Aufbewahrungspflichten aus § 16 ArbZG und § 17 MiLoG. Fließen die Daten in die Lohnabrechnung ein, greifen die längeren steuerlichen Fristen nach § 147 AO von sechs Jahren. Ein Löschkonzept sollte beide Fälle sauber trennen.

Darf der Arbeitgeber Stempeldaten zur Leistungsbewertung nutzen?

Nein. Die Zweckbindung der DSGVO erlaubt die Verarbeitung für Arbeitszeitnachweis und Abrechnung; eine Umwidmung zur systematischen Leistungs- oder Verhaltenskontrolle ist unzulässig. Zulässig bleiben punktuelle Stichprobenkontrollen – eine lückenlose Dauerüberwachung hat die Rechtsprechung verworfen.

Ist Geofencing beim Stempeln DSGVO-konform?

Als punktuelle Prüfung ja: Das System kontrolliert nur im Moment der Buchung, ob sich die Person am vereinbarten Arbeitsort befindet. Unzulässig wäre eine fortlaufende Standortverfolgung während der Arbeitszeit, aus der sich Bewegungsprofile ergeben.

Quellen