Zeiterfassumg mit GeCOTime leicht gemacht

Kann ein Mitarbeiter die Zeiterfassung manipulieren?

Auch eine moderne Zeiterfassung ist nicht gänzlich vor Manipulation geschützt. Durch Einsatz geeigneter Systeme lässt sich allerdings die Gefahr eine Zeiterfassung zu manipulieren auf ein minimales Restrisiko reduzieren.

Bereits im Zeitalter der Stempel- oder Stechuhren war das „Stempeln“ für einen Kollegen eine naheliegende Form um Aufzeichnungen der Arbeitszeiten zu manipulieren. Seit fast 40 Jahren werden Zeiterfassungs-Systeme unter Verwendung elektronischer Erfassungsgeräte (Terminals) eingesetzt. Eine Methode, die auch heute noch zu den gebräuchlichsten zählt. Anstelle der persönlichen Stempelkarte wird heute ein elektronisches Medium (Ausweis/Chip) verwendet und natürlich ist es dadurch auch technisch möglich, dass der Ausweis/Chip nicht vom tatsächlichen Besitzer sondern von einer anderen Person am Terminal gebucht wird. Gegen diesen Missbrauch gibt es aber einige Vorkehrungen:

  • Verwendung Biometrischer Identifikationsmethoden, also z.B. Fingerprint. Leider gibt es gegen die Nutzung von Fingerprint-Terminals noch immer eine Reihe von Argumenten. Einerseits weisen die Finger einer sehr kleinen Personengruppe (<<1%) Merkmale auf, die sich nicht oder nur sehr unpräzise digitalisieren lassen. Andererseits gibt es arbeitsrechtliche Grundlagen, die es der Belegschaftsvertretung ermöglichen es zu verhindern, dass biometrische Daten für betriebliche Zwecke gespeichert und genutzt werden.
  • Wenn der Einsatz biometrischer Systeme nicht gewünscht wird oder durch Belegschaftsvertretung verhindert wird, kann die Kombination einer Zeiterfassung mit einer Zutrittskontrolle das Stempeln für einen anderen unmöglich machen. Die Zutrittskontrolle muss dann aber so konzipiert sein, dass das Öffnen eines Zugangs auch mit dem tatsächlichen Zutritt plausibilisiert wird und dadurch geprüft werden kann, ob Personen die einen Zeit-Stempel absetzen auch tatsächlich anwesend sind.

Obwohl die Praxis zeigt, dass diese Form der Manipulation einer Zeiterfassung sehr selten vorkommt wird dieses Thema bei Entscheidungen für ein Zeiterfassungs-System fast immer zumindest diskutiert.

Gute Zeiterfassungs-Systeme müssen natürlich in der Lage sein Datenmanipulation im System auszuschließen. Das sollte einerseits durch entsprechende Funktionsberechtigungen der Programmverwaltung passieren und andererseits durch manipulationssichere Log-Dateien. Dennoch sind auch heute noch viele Systeme im Einsatz die entsprechende Mankos aufweisen und es kann zu einer Herausforderung für IT-Spezialisten werden, das Zeiterfassungs-System zu überlisten.

Etwas sensibler wird das Thema der Manipulation einer Zeiterfassung dann, wenn keine Terminals mit Ausweisen, Chips oder biometrischer Identifikation eingesetzt werden, sondern die Erfassung der Arbeitszeiten über sogenannte WEB-Terminals oder APPs am Smartphone erfolgt. Hier sollten sich System-Entscheider mit der angebotenen Lösung zumindest soweit auseinandersetzen, dass geprüft wird, ob die Technologie nicht zum Missbrauch verleitet:

  • Bei WEB-Terminals oder APP Zeiterfassung muss sichergestellt werden, dass die erfasste Zeit nicht vom Erfassungsgerät sondern vom Zeiterfassungs-Server geliefert wird (sonst könnte durch einfaches Verstellen der PC- oder Smartphone Uhrzeit eine falsche Zeit erfasst werden).
  • Um zu verhindern, dass die WEB-Terminal Zeiterfassung von einem beliebigen Endgerät erfolgt (also z.B. vom Heim-PC eines Mitarbeiters) sollte das System entsprechende Einschränkungen und Kontrollen ermöglichen (z.B. IP-Adressen Zuordnung im Mitarbeiter-Stammsatz).
  • Der Einsatz einer Smartphone- oder Tablett-APP für die Zeiterfassung wird wahrscheinlich dann gewählt, wenn die betroffenen Mitarbeiter vorwiegend oder häufig im Außendienst tätig sind. Hier kann die Miterfassung von GPS-Daten eine vernünftige Plausibilisierung sein.

Wenn wir heute immer wieder über erfolgreiche Hacker-Angriffe auf Rechensysteme hochsensibler Stellen hören muss man natürlich auch diese Technik als mögliche Quelle einer Zeiterfassungs-Manipulation in Betracht ziehen. Es stellt sich allerdings dabei die Frage, ob Personen, die in der Lage sind ein halbwegs gut abgesichertes Rechnersystem eines Unternehmens zu hacken dies nur wegen der Manipulation der erfassten Arbeitszeiten tun würden?

Anmerkung: Dieser Beitrag ist und soll keine Anleitung oder Motivation für Mitarbeiter zum Missbrauch der Zeiterfassung sein. Es ist ohne Zweifel, dass eine Manipulation der Zeiterfassung ein arbeitsrechtliches Vergehen ist. Wir zeigen hier nur auf worauf bei der Implementierung einer modernen Zeiterfassung zu achten ist um eine allfällige Manipulation durch einen Nutzer möglichst unmöglich zu machen.

Kodex Arbeitsrecht und Zeiterfassungssysteme

Für wen ist Zeiterfassung Pflicht?

Laut österreichischem Arbeitsrecht ist grundsätzlich der Arbeitgeber für die Aufzeichnung der Arbeitszeiten verantwortlich. Daher gibt es für Arbeitnehmer eine Zeiterfassung Pflicht nur dann, wenn es diesbezüglich eine explizite Betriebsvereinbarung oder entsprechende Einzelvereinbarung gibt.

Für wen ist Zeiterfassung Pflicht?
Das Arbeitszeitgesetz (AZG) schreibt im §26 lediglich vor, dass der Arbeitgeber (AG) Aufzeichnungen über die geleisteten Arbeitsstunden zu führen hat. Die Form der Aufzeichnung wird vom Gesetzgeber nicht vorgeschrieben.
Etwas kniffliger wird die Beantwortung, wenn es im Betrieb eine Gleitzeit-Vereinbarung gibt. Hier sieht der §26(2) des AZG vor, dass der AG die Aufzeichnungen der täglichen Arbeitsstunden an den Arbeitnehmer (AN) delegieren kann. Dazu bedarf es aber einer gesonderten Vereinbarung. Die Übertragung dieser Aufzeichnungspflicht gemäß §26(2) bedeutet aber noch nicht, dass damit eine Pflicht zur Teilnahme an einem Zeiterfassungs-System verbunden ist. Ein höchstgerichtliches Urteil des Verwaltungsgerichtshofes (VwGH) aus dem Jahre 1992 bestätigt, dass die Aufzeichnung eines AN in handschriftlich geführten Listen die Vorgaben des AZG §26 erfüllt.
Konkret nimmt §26(2) auch Bezug auf den Fall, dass der AG ein Zeiterfassungssystem einsetzt. Dem Wortlaut des Gesetzestextes ist nicht zu entnehmen, dass damit eine Pflicht zur Teilnahme des AG an diesem System verbunden ist. Das Gesetzt schreibt hier lediglich vor, dass der AG dem AN Einsicht in die Aufzeichnungen des Systems zu gewähren muss, wenn die täglichen Arbeitsstunden mittel Zeiterfassungssystem geführt werden.
Wenn aber, wie im §26(4) angeführt die Aufzeichnungen der Arbeitsstunden durch Betriebsvereinbarung mittels Zeiterfassungssystem erfolgt, entsteht damit eine Verpflichtung des AN zur Teilnahme an diesem System. Sinngemäß ist daraus auch zu schließen, dass es eine Verpflichtung zur Teilnahme an einer vom AG bereitgestellten Zeiterfassung gibt, wenn dies im Arbeitsvertrag oder in einer entsprechenden Vereinbarung zwischen AG und AN vorgesehen ist.
Unabhängig von den betriebsinternen Vereinbarungen bezüglich Art und Weise der Aufzeichnung von Arbeitszeiten gibt es aber im §1 AZG eine grundsätzliche Bestimmung darüber für wen dieses Gesetz Gültigkeit hat. Neben einer Reihe explizit angeführter Berufsgruppen und Beschäftigungsverhältnissen für die andere Gesetze gelten (z.B. Beschäftigte im Öffentlichen Dienst, Landarbeiter, Bäckereiarbeiter, etc.) wird hier klar festgehalten, dass das AZG nicht für leitende Angestellte gilt, denen maßgebliche Führungsaufgaben übertragen werden (§1(2)-8.). Wie in vielen anderen Gesetzen ist auch hier eine Definition gewählt, die breiten Raum für Interpretation und Auslegung erlaubt. Jedenfalls ist hier der Begriff des „leitenden Angestellten“ enger zu sehen als im Betriebsverfassungsgesetz und Angestellten Gesetz, denn das AZG gilt grundsätzlich nur für Arbeitnehmer im Sinne dieser Gesetze.
Um allfälligen Diskussionen oder Streitfällen vorzubeugen sollte daher jeder AG bei Einführung einer Zeiterfassung dafür sorgen, dass durch entsprechende Vereinbarungen oder Dienstanweisungen klar gestellt wird, wer an der Zeiterfassung teilzunehmen hat.

Header - Kalender

Einführung einer Zeiterfassung

Wer bei der Einführung einer Zeiterfassung nicht ausreichende Ressourcen bereit stellt wird dies im laufenden Betrieb der Zeiterfassung teuer bezahlen!

Auch für die Einführung einer Zeiterfassung gilt: Planung ist die halbe Miete! Deshalb wollen wir hier auf einige wichtige Aspekte hinweisen, die bei einem Projekt Zeiterfassung in der Einführungsphase zu berücksichtigen sind. Aber mit der Auswahl des richtigen Systems alleine ist das Projekt Zeiterfassung für das Unternehmen noch nicht abgeschlossen.

Bei vielen Unternehmen und Organisationen wird der Ressourcen Bedarf für die Einführung des Systems und die laufende Betreuung völlig unterschätzt. Leider können dazu auch die System Lieferanten beitragen, wenn Sie dem Kunden das Blaue vom Himmel versprechen, denn natürlich hängt der Aufwand für die Implementierung auch von der Bedienungsfreundlichkeit und der Funktionalität des Systems ab. Im Folgenden möchten wir stichwortartig jene Themen auflisten, die aus unserer Sicht zu den wichtigsten Ressourcen-Fressern bei der Einführung einer Zeiterfassung zählen.

  • Betriebsinterne Prozesse und Regelungen
    • Exakte Definition aller Arbeitszeit-Modelle und Zuordnung zu Mitarbeitern
      • Im Idealfall hat das Unternehmen diese bereits vor der Systemauswahl so definiert, dass der Systemlieferant sein Angebot darauf ausgelegt hat
      • Allenfalls zu erstellende Betriebsvereinbarung (Zustimmung Betriebsrat) oder Dienstanweisung
    • Wie werden die Arbeitszeiten der einzelnen Mitarbeiter erfasst?
      • Terminals, Web-Terminals, APP, etc.?
      • Welche Medien (Ausweise, Chips) werden eingesetzt.
        • Gibt es bereits Medien oder werden diese im Rahmen der Einführung erst angeschafft?
      • Wie werden diese den Mitarbeitern zugeordnet (Ausweisnummer, Chip-Seriennummer)?
    • Entscheidungs- und Genehmigungsprozesse (hier einige Beispiele)
      • Wer darf wann fehlende Zeitdaten nacherfassen
      • Wer entscheidet über Verwendung von Zeitsalden
      • Welche Abwesenheitsarten sollen im System erfasst werden?
      • Wer genehmigt diese in welcher Form (Workflow)?
    • Aufbereitung der Personal-Stammdaten
      • Gibt es diese bereits in digitaler Form (z.B. Lohnverrechnung oder andere HR-Software)?
    • Definition von Schnittstellen zu anderen Systemen
      • Lohnverrechnung
      • HR-Verwaltungssystem
    • IT-Infrastruktur
      • Wurden folgende Themen mit dem Systemlieferanten abgeklärt und abgestimmt?
        • Server Kapazität
        • Serverbetriebssystem
        • Datenbank
        • Netzwerk
        • Firewalls
        • Workstations / Browser für Systembenutzer
        • Installationsvoraussetzungen für Terminals
      • Projektmanagement
        • Klar definierte Ansprechpartner und Verantwortungen auf Seiten des Systemanbieters und des Kunden
          • Insbesondere geht es dabei um die Aufgabenverteilung, die auch den späteren laufenden Betrieb betrifft.
            • Wer übernimmt die Anlage variabler Stammdaten im System?
              • Zeitarten
              • Abwesenheitsarten
              • Tagesmodelle
              • Wochenmodelle
              • Auswertungen
            • Zeitplan (wer hat bis wann welche Aufgaben zu erfüllen)
            • Schulung
              • Leider wird bei diesem Punkt meist zu viel gespart. Zeiterfassung bedeutet laufende Bearbeitung und daher Kenntnis über das System!
            • Test-Phase
              • Auch auf diesen Punkt wird bei vielen Projekten vergessen.
              • Adaptionen des Systems und/oder der Prozesse können in einer Testphase viel besser durchgeführt werden.
            • Systemabnahme (allfällige Mängelliste)

 

Natürlich sind die oben angeführten Punkte nur eine Orientierungshilfe und erheben keinen Anspruch auf Vollständigkeit. Aber unsere Erfahrung zeigt, dass eine rechtzeitige Auseinandersetzung mit diesen Themen und eine mit dem Systemanbieter koordinierte Umsetzung die Implementierungsphase zeitlich deutlich reduzieren kann.

 

Außerdem führen eine gut geplante Einführung einer Zeiterfassung und die rechtzeitige Bereitstellung der benötigten Ressourcen zu einer deutlich höheren Identifikation aller betroffenen Personen mit dem System. Dies ist die Grundvoraussetzung für eine Akzeptanz des Systems im laufenden Betrieb sowohl bei Nutzern und betroffenen Mitarbeitern.

 

Recht & Arbeitszeiterfassung

Arbeitszeiterfassung und DSGVO

DSGVO ist die EU Datenschutz Grund Verordnung, die ab 25.05.2018 in allen Mitgliedstaaten wirksam wird. Verletzungen gegen diese Verordnung können zu Strafen von bis zu 20 Mio. Euro führen. Arbeitszeiterfassung und DSGVO erfordert daher von jedem Unternehmer besondere Aufmerksamkeit.

Dieser Blogbeitrag soll Grundlage für Unternehmer und Dienstnehmer zur Diskussion des Themas Datenschutz und DSGVO in Verbindung mit Arbeitszeiterfassung sein. Die Inhalte dieses Beitrags sind keinesfalls rechtlich bindende Aussagen sondern nur die persönliche Meinung der Autoren.

Warum wird so viel über die DSGVO in diversen Foren diskutiert?
Hauptgrund ist, dass mit dieser Verordnung der Strafrahmen für Unternehmer bei Verstößen gegen den Datenschutz mit wesentlich höheren Geldbußen als bisher, in Höhe von bis zu 20 Mio. Euro oder 4% des Jahresumsatzes verbunden ist. Die DSGVO ist eine EU-Verordnung, die direkt in allen Mitgliedstaaten Gültigkeit hat und zum Unterschied zu EU-Richtlinien nicht durch nationale Gesetze umgesetzt werden muss. Dennoch gilt in Österreich weiterhin das Datenschutzgesetz (DSG), das im Zuge der DSGVO durch ein Anpassungsgesetz, das ebenfalls ab 25.05.2018 in Kraft tritt angepasst wurde.

Neben dem Strafausmaß wurden durch diese Verordnung viele gängige Begriffe des derzeit gültigen DSG neu gefasst und durch teilweise andere Bezeichnungen ersetzt. So werden der bisherige „Auftraggeber“ zum „Verantwortlichen“ und der bisherige „Dienstleister“ zum „Auftragsverarbeiter“. Neu ist u.a. der Begriff des „Profilings“, der die automatisierte, selektive Auswertung personenbezogener Daten betrifft. Die DSGVO bringt auch gewisse Erleichterungen und Vereinfachungen. So ist es für betroffene Unternehmen ab 25.05.2018 nicht mehr erforderlich die automatisierte Verarbeitung personenbezogener Daten dem Datenverarbeitungsregister (DVR) zu melden und eine DVR-Nummer anzuführen. Es muss allerdings im Sinne der DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten personenbezogener Daten geführt werden. Dazu gehört neben einer Lohnverrechnung und Kundendatei z.B. auch die Arbeitszeiterfassung.

Natürlich ist ein Zeiterfassungs-System ein System das personenbezogene Daten verarbeitet, speichert und auswertet und grundsätzlich den „Verantwortlichen“ Möglichkeiten für Verletzung der Datenschutzverordnung bietet. Eine Verletzung wäre z.B., wenn Daten der Zeiterfassung im System so gespeichert werden, dass darauf eine unkontrollierte Menge von Personen Zugriff hat.

Wesentlich für die Erfüllung der gesetzlichen Anforderungen im Zusammenhang mit der Arbeitszeiterfassung ist, dass das System (Software und Hardware) dem „Verantwortlichen“ im Sinne des DSG bzw. DSGVO Möglichkeiten zu Verfügung stellt, dass schützenswerte Daten vor unrechtmäßigem Zugriff geschützt werden können. Das System muss also so einstellbar sein, dass nicht jeder alle Daten einsehen kann und dass nur bestimmte Benutzer Rechte zur Einsicht und Bearbeitung einzelner Dienstnehmer haben.

Auch wenn das Zeiterfassungs-System die oben genannten Einstellungen erlaubt und diese entsprechend umgesetzt werden empfiehlt es sich als Verantwortlicher von allen betroffenen Dienstnehmern, z.B. im Rahmen des Dienstvertrages oder der Arbeitszeitregelung die Zustimmung bzw. „Einwilligung“ im Sinne der DSGVO zur Verarbeitung personenbezogener Daten im Zeiterfassungs-System einzuholen. Ebenso sollten Benutzer des Systems, also jene Personen, die Daten der Zeiterfassung einsehen, bearbeiten und auswerten können am besten schriftlich auf den sorgsamen Umgang im Sinne der DSGVO und des DSG hingewiesen werden.

Zielführend kann auch sein, dass sich die Verantwortlichen vom Lieferanten des Zeiterfassungs-Systems eine Bestätigung für die Tauglichkeit des Systems im Sinne der DSGVO ausstellen lasst.

Ein Sonderfall ist die Nutzung einer Zeiterfassung als „Online-Software“ oder Cloud-Service“. In diesem Fall bekommt der „Auftragsverarbeiter“ eine besondere Bedeutung. Auftragsverarbeiter ist in diesem Fall jener Dienstleister, der die Software dem Unternehmer, also dem „Verantwortlichen“ gegen Entgelt zu Verfügung stellt. Der Auftragsverarbeiter übernimmt in diesem Fall die Verantwortung dafür, dass die bei ihm gespeicherten und verarbeiteten Daten vor unberechtigtem Zugriff geschützt sind. Sollten Daten aus der Online-Zeiterfassung durch Versäumnisse des Auftragsverarbeiters unbefugten Personen zugängig sein, haftet er im Sinne des DSG und der DSHVO. Der Unternehmer als „Verantwortlicher“ kann sich allerdings seiner Verantwortung durch Nutzung einer Online-Software nicht gänzlich entziehen. Für ihn und alle berechtigten Benutzer des Systems gelten natürlich die gleichen Bedingungen, wie bei einer Zeiterfassung auf einem eigenen Server. Der Verantwortliche hat dafür zu sorgen, dass das System so eingestellt wird, dass mit personenbezogene Daten des Zeiterfassungs-Systems sorgsam umgegangen wird und diese vor unberechtigtem Zugriff geschützt sind.