FREE BETA Pintime ist in der Beta: Jetzt für kostenlosen Early Access anmelden!
← Pintime Blog

DSGVO und Zeiterfassung: Was Arbeitgeber wissen müssen

8. April 2026 · 7 Min. Lesezeit DSGVO Zeiterfassung Mitarbeiter

Wenn man an die DSGVO denkt, fallen einem meist Cookie-Banner, Marketing-E-Mails und Newsletter-Formulare ein. Dabei hat die Datenschutz-Grundverordnung (EU-Verordnung 2016/679) einen sehr konkreten Einfluss auf etwas weitaus Alltäglicheres: die Art und Weise, wie Ihr Unternehmen die Anwesenheit von Mitarbeitern erfasst.

Jedes Mal, wenn ein Mitarbeiter einstempelt, jedes Mal, wenn das System einen vorzeitigen Abgang registriert, jedes Mal, wenn eine GPS-App den Standort eines Arbeiters auf einer Baustelle bestätigt — verarbeiten Sie personenbezogene Daten. Und wenn Sie das ohne die richtigen Schutzmaßnahmen tun, riskieren Sie Bußgelder ab 10.000 Euro bis hin zu 4 % des weltweiten Jahresumsatzes.

Dieser Leitfaden erklärt Ihnen konkret, was Sie tun müssen, um regelkonform zu sein. Er stellt keine Rechtsberatung dar — dafür wenden Sie sich bitte an einen qualifizierten Fachmann — aber er gibt Ihnen die Orientierung, um zu verstehen, wo Sie stehen und was möglicherweise fehlt.

Welche Daten erfasst ein Zeiterfassungssystem?

Bevor wir über Pflichten sprechen, lohnt sich ein Blick darauf, um welche Daten es eigentlich geht. Ein Zeiterfassungssystem verarbeitet mindestens drei Datenkategorien:

Arbeitszeitdaten (Kommen/Gehen): die grundlegendsten Daten. Sie erfassen, wann der Mitarbeiter seine Arbeitszeit begonnen und beendet hat, einschließlich Überstunden, Pausen und Zwischenausgängen. Es handelt sich um gewöhnliche personenbezogene Daten, die aber der DSGVO unterliegen.

Geolokalisierungsdaten: wenn Sie eine App mit GPS oder Geofencing verwenden, erfasst das System auch, wo sich der Mitarbeiter beim Einstempeln befand. Diese Daten werden als sensibler eingestuft, da sie Gewohnheiten, Bewegungsmuster und sogar Informationen über das Privatleben des Mitarbeiters offenbaren können.

Urlaubs-, Krankheits- und Abwesenheitsanträge: hier betreten wir das Gebiet der besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO). Gesundheitsdaten — wie eine Erkrankung oder ein Krankenhausaufenthalt — genießen erhöhten Schutz und erfordern spezifische Rechtsgrundlagen für ihre Verarbeitung.

Die DSGVO und Mitarbeiterdaten: anwendbare Rechtsgrundlagen

Die DSGVO verbietet nicht, Daten Ihrer Mitarbeiter zu verarbeiten. Sie verlangt, dass Sie dafür eine Rechtsgrundlage haben (Art. 6 DSGVO). Für die Zeiterfassung sind zwei Grundlagen besonders relevant:

Vertragserfüllung (Art. 6 Abs. 1 lit. b): der Arbeitsvertrag beinhaltet Arbeitszeitpflichten. Die Erfassung von Arbeitszeiten ist notwendig, um diesen Vertrag zu erfüllen und seine Einhaltung zu überprüfen. Diese Grundlage deckt die meisten Standard-Anwesenheitsdaten ab.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c): bestimmte Vorschriften verpflichten zur Aufbewahrung von Arbeitszeitdaten — etwa das Arbeitszeitgesetz, die Unfallverhütungsvorschriften oder sozialversicherungsrechtliche Pflichten. Diese Grundlage tritt neben die vertragliche oder an ihre Stelle, wenn eine spezifische gesetzliche Pflicht besteht.

Die Einwilligung ist nicht die richtige Grundlage für Beschäftigte. Die Datenschutzbehörden haben wiederholt klargestellt, dass eine Einwilligung im Arbeitsverhältnis per definitionem nicht frei ist: Der Arbeitnehmer befindet sich gegenüber dem Arbeitgeber in einer strukturellen Ungleichgewichtssituation. Die Einwilligung als einzige Grundlage für die Verarbeitung von Anwesenheitsdaten heranzuziehen ist ein Fehler, der die gesamte Verarbeitung unwirksam macht.

Wann ist die Einwilligung tatsächlich erforderlich?

Die Einwilligung ist nur für Verarbeitungen erforderlich, die über die normale Verwaltung des Arbeitsverhältnisses hinausgehen — etwa die Weitergabe von Anwesenheitsdaten an Dritte zu statistischen Zwecken oder für Verwendungen, die der Mitarbeiter vernünftigerweise nicht erwarten könnte.

Für die reguläre Zeiterfassung zu Entgelt- und Arbeitszeitmanagementzwecken ist keine Einwilligung erforderlich.

Geolokalisierung: die besonderen Regeln

Geolokalisierung verdient eine gesonderte Betrachtung. Die Verarbeitung von GPS-Standortdaten von Beschäftigten erfordert:

  1. Eine solide Rechtsgrundlage (berechtigtes Interesse oder vertragliche/gesetzliche Verpflichtung — nicht Einwilligung)
  2. Die Einhaltung des nationalen Arbeitsrechts zur Überwachung am Arbeitsplatz
  3. Eine spezifische Datenschutzmitteilung, die erklärt, was erfasst wird, wann, wie lange und wer auf die Daten zugreifen kann

Die konkreten Pflichten des Arbeitgebers

Datenschutzinformation für Mitarbeiter (Art. 13 DSGVO)

Hier sind viele KMU unzureichend aufgestellt. Bevor das Zeiterfassungssystem in Betrieb geht, muss jeder Mitarbeiter eine klare und verständliche Information erhalten, die Folgendes erläutert:

  • Wer der Verantwortliche ist (Ihr Unternehmen)
  • Welche Daten erfasst werden (Arbeitszeiten, GPS-Standort falls zutreffend)
  • Zu welchen Zwecken (Anwesenheitsmanagement, Lohnberechnung, gesetzliche Pflichten)
  • Wie lange die Daten gespeichert werden
  • Mit wem sie geteilt werden (Steuerberater, Softwareanbieter, eventuelle Auftragsverarbeiter)
  • Welche Rechte der Mitarbeiter hat (Auskunft, Berichtigung, Löschung, Widerspruch)

Die Information muss schriftlich ausgehändigt werden, mit einer signierten Empfangsbestätigung. Eine mündliche Mitteilung reicht nicht aus.

Datenspeicherung: Wie lange müssen die Daten aufbewahrt werden?

Die DSGVO legt keine einheitliche Frist für Anwesenheitsdaten fest. Es gelten die Grundsätze der Datenminimierung und Speicherbegrenzung (Art. 5 DSGVO). In der Praxis:

  • Daten, die für die Lohnabrechnung benötigt werden, sollten mindestens 3 Jahre aufbewahrt werden (Verjährungsfrist für Lohnforderungen nach deutschem Recht), für steuerliche Zwecke in der Regel 10 Jahre (§ 147 AO)
  • Für die Sozialversicherung relevante Daten folgen den entsprechenden Aufbewahrungsfristen
  • Geolokalisierungsdaten, die ausschließlich zur Verifikation der Anwesenheit am Arbeitsort verwendet werden, sollten nicht länger als nötig gespeichert werden — in vielen Fällen reichen einige Monate

Legen Sie eine schriftliche Aufbewahrungsrichtlinie fest und implementieren Sie automatische Löschmechanismen. Wenn Sie eine SaaS-Lösung nutzen, prüfen Sie, ob der Anbieter diese Funktionen unterstützt.

Wer ist der DSB und wann ist er Pflicht?

Der Datenschutzbeauftragte (DSB) ist nur in bestimmten Fällen obligatorisch (Art. 37 DSGVO): öffentliche Stellen, Unternehmen, die eine umfangreiche regelmäßige und systematische Überwachung von Personen durchführen, oder die besondere Kategorien personenbezogener Daten in großem Umfang verarbeiten. Die meisten KMU mit einem Standard-Zeiterfassungssystem sind nicht verpflichtet, einen DSB zu benennen.

Eine freiwillige Benennung kann jedoch sinnvoll sein, wenn Ihr Unternehmen viele Mitarbeiter hat oder kontinuierliche GPS-Ortung einsetzt.

Verzeichnis von Verarbeitungstätigkeiten

Unternehmen mit mehr als 250 Mitarbeitern sind verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen (Art. 30 DSGVO). Für kleinere Unternehmen gilt die Pflicht nur, wenn die Verarbeitung nicht nur gelegentlich erfolgt oder Risiken für die Rechte der Betroffenen birgt.

Zeiterfassung mit Geolokalisierung fällt typischerweise in diese Kategorie. Führen Sie das Verzeichnis auch dann, wenn Sie dazu nicht streng verpflichtet sind: Im Falle einer Prüfung demonstriert es einen verantwortungsvollen Umgang.

Geolokalisierung und Mitarbeiterüberwachung nach deutschem Recht

Über die DSGVO hinaus regelt in Deutschland das Bundesdatenschutzgesetz (BDSG) in Verbindung mit dem Arbeitsrecht die Verarbeitung von Mitarbeiterdaten. § 26 BDSG erlaubt die Verarbeitung von Beschäftigtendaten, wenn sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Hinzu kommt: Wenn Ihr Unternehmen einen Betriebsrat hat, unterliegen technische Überwachungseinrichtungen — einschließlich GPS-basierter Zeiterfassungssysteme — der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG. Das bedeutet: Vor der Einführung muss der Betriebsrat zustimmen oder eine Betriebsvereinbarung abgeschlossen werden.

Eine Zeiterfassungsapp mit Geofencing, die nur den Moment des Ein- und Ausstempelns erfasst — und nicht die kontinuierlichen Bewegungen im Laufe des Tages — gilt im Allgemeinen als verhältnismäßig. Eine ununterbrochene GPS-Überwachung von Büroangestellten während des gesamten Arbeitstages ist es nicht.

Was Sie riskieren, wenn Sie nicht regelkonform sind

Die DSGVO-Bußgelder sind bekannt: bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) sowie die Landesdatenschutzbehörden haben in den letzten Jahren mehrere relevante Bußgelder verhängt:

  • Bußgelder für die Installation von GPS-Systemen in Firmenfahrzeugen ohne vorherige Information der Mitarbeiter.
  • Maßnahmen gegen Unternehmen, die Arbeitszeitdaten über die erforderliche Dauer hinaus ohne ausreichende Rechtsgrundlage aufbewahrt haben.
  • Verwarnungen an Arbeitgeber, die die Datenschutzinformation nicht vor der Aktivierung neuer Überwachungssysteme ausgehändigt haben.

Neben den Geldbußen kann eine Anordnung der Datenschutzbehörde zur Aussetzung der Verarbeitung führen — was bedeutet, dass Ihr Zeiterfassungssystem bis zur Behebung der Mängel abgeschaltet werden muss.

Wie Sie ein DSGVO-konformes Tool wählen

Bei der Bewertung einer Zeiterfassungssoftware sollten Sie stets prüfen:

  • Datenspeicherung in der EU: werden die Daten auf Servern innerhalb der EU/des EWR gespeichert? Bietet der Anbieter Garantien für Datenübermittlungen außerhalb des EWR?
  • Auftragsverarbeitungsvertrag: handelt der Softwareanbieter als Auftragsverarbeiter im Sinne von Art. 28 DSGVO? Das muss er, und Sie benötigen mit ihm einen schriftlichen Auftragsverarbeitungsvertrag (AVV).
  • Löschfunktionen: können Sie die automatische Löschung nach einem festgelegten Zeitraum konfigurieren?
  • Zugriffsprotokolle: wer in Ihrem Unternehmen kann auf die Anwesenheitsdaten zugreifen? Protokolliert das System die Zugriffe?
  • Compliance-Unterstützung: hilft der Anbieter Ihnen bei der Erstellung der Datenschutzinformation für Mitarbeiter?

Pintime wurde mit diesen Anforderungen entwickelt: europäische Infrastruktur, AVV auf Anfrage verfügbar, Geofencing, das nur den Moment des Einstempelns erfasst — kein kontinuierliches Tracking. Testen Sie es kostenlos während der Beta-Phase.

Dieser Artikel dient ausschließlich der Information und stellt keine Rechtsberatung dar. Für eine Bewertung Ihrer spezifischen Situation wenden Sie sich an einen auf Arbeitsrecht oder Datenschutz spezialisierten Rechtsanwalt.

Testen Sie Pintime kostenlos in der Beta

GPS-Zeiterfassung, Geofencing und automatische Berichte. Keine Kreditkarte erforderlich.

Kostenlos Starten →