Recht & Arbeitszeiterfassung

Arbeitszeiterfassung und DSGVO

DSGVO ist die EU Datenschutz Grund Verordnung, die ab 25.05.2018 in allen Mitgliedstaaten wirksam wird. Verletzungen gegen diese Verordnung können zu Strafen von bis zu 20 Mio. Euro führen. Arbeitszeiterfassung und DSGVO erfordert daher von jedem Unternehmer besondere Aufmerksamkeit.

Dieser Blogbeitrag soll Grundlage für Unternehmer und Dienstnehmer zur Diskussion des Themas Datenschutz und DSGVO in Verbindung mit Arbeitszeiterfassung sein. Die Inhalte dieses Beitrags sind keinesfalls rechtlich bindende Aussagen sondern nur die persönliche Meinung der Autoren.

Warum wird so viel über die DSGVO in diversen Foren diskutiert?
Hauptgrund ist, dass mit dieser Verordnung der Strafrahmen für Unternehmer bei Verstößen gegen den Datenschutz mit wesentlich höheren Geldbußen als bisher, in Höhe von bis zu 20 Mio. Euro oder 4% des Jahresumsatzes verbunden ist. Die DSGVO ist eine EU-Verordnung, die direkt in allen Mitgliedstaaten Gültigkeit hat und zum Unterschied zu EU-Richtlinien nicht durch nationale Gesetze umgesetzt werden muss. Dennoch gilt in Österreich weiterhin das Datenschutzgesetz (DSG), das im Zuge der DSGVO durch ein Anpassungsgesetz, das ebenfalls ab 25.05.2018 in Kraft tritt angepasst wurde.

Neben dem Strafausmaß wurden durch diese Verordnung viele gängige Begriffe des derzeit gültigen DSG neu gefasst und durch teilweise andere Bezeichnungen ersetzt. So werden der bisherige „Auftraggeber“ zum „Verantwortlichen“ und der bisherige „Dienstleister“ zum „Auftragsverarbeiter“. Neu ist u.a. der Begriff des „Profilings“, der die automatisierte, selektive Auswertung personenbezogener Daten betrifft. Die DSGVO bringt auch gewisse Erleichterungen und Vereinfachungen. So ist es für betroffene Unternehmen ab 25.05.2018 nicht mehr erforderlich die automatisierte Verarbeitung personenbezogener Daten dem Datenverarbeitungsregister (DVR) zu melden und eine DVR-Nummer anzuführen. Es muss allerdings im Sinne der DSGVO ein Verzeichnis aller Verarbeitungstätigkeiten personenbezogener Daten geführt werden. Dazu gehört neben einer Lohnverrechnung und Kundendatei z.B. auch die Arbeitszeiterfassung.

Natürlich ist ein Zeiterfassungs-System ein System das personenbezogene Daten verarbeitet, speichert und auswertet und grundsätzlich den „Verantwortlichen“ Möglichkeiten für Verletzung der Datenschutzverordnung bietet. Eine Verletzung wäre z.B., wenn Daten der Zeiterfassung im System so gespeichert werden, dass darauf eine unkontrollierte Menge von Personen Zugriff hat.

Wesentlich für die Erfüllung der gesetzlichen Anforderungen im Zusammenhang mit der Arbeitszeiterfassung ist, dass das System (Software und Hardware) dem „Verantwortlichen“ im Sinne des DSG bzw. DSGVO Möglichkeiten zu Verfügung stellt, dass schützenswerte Daten vor unrechtmäßigem Zugriff geschützt werden können. Das System muss also so einstellbar sein, dass nicht jeder alle Daten einsehen kann und dass nur bestimmte Benutzer Rechte zur Einsicht und Bearbeitung einzelner Dienstnehmer haben.

Auch wenn das Zeiterfassungs-System die oben genannten Einstellungen erlaubt und diese entsprechend umgesetzt werden empfiehlt es sich als Verantwortlicher von allen betroffenen Dienstnehmern, z.B. im Rahmen des Dienstvertrages oder der Arbeitszeitregelung die Zustimmung bzw. „Einwilligung“ im Sinne der DSGVO zur Verarbeitung personenbezogener Daten im Zeiterfassungs-System einzuholen. Ebenso sollten Benutzer des Systems, also jene Personen, die Daten der Zeiterfassung einsehen, bearbeiten und auswerten können am besten schriftlich auf den sorgsamen Umgang im Sinne der DSGVO und des DSG hingewiesen werden.

Zielführend kann auch sein, dass sich die Verantwortlichen vom Lieferanten des Zeiterfassungs-Systems eine Bestätigung für die Tauglichkeit des Systems im Sinne der DSGVO ausstellen lasst.

Ein Sonderfall ist die Nutzung einer Zeiterfassung als „Online-Software“ oder Cloud-Service“. In diesem Fall bekommt der „Auftragsverarbeiter“ eine besondere Bedeutung. Auftragsverarbeiter ist in diesem Fall jener Dienstleister, der die Software dem Unternehmer, also dem „Verantwortlichen“ gegen Entgelt zu Verfügung stellt. Der Auftragsverarbeiter übernimmt in diesem Fall die Verantwortung dafür, dass die bei ihm gespeicherten und verarbeiteten Daten vor unberechtigtem Zugriff geschützt sind. Sollten Daten aus der Online-Zeiterfassung durch Versäumnisse des Auftragsverarbeiters unbefugten Personen zugängig sein, haftet er im Sinne des DSG und der DSHVO. Der Unternehmer als „Verantwortlicher“ kann sich allerdings seiner Verantwortung durch Nutzung einer Online-Software nicht gänzlich entziehen. Für ihn und alle berechtigten Benutzer des Systems gelten natürlich die gleichen Bedingungen, wie bei einer Zeiterfassung auf einem eigenen Server. Der Verantwortliche hat dafür zu sorgen, dass das System so eingestellt wird, dass mit personenbezogene Daten des Zeiterfassungs-Systems sorgsam umgegangen wird und diese vor unberechtigtem Zugriff geschützt sind.