Praktische Einordnung für kleine Betriebe

Zeiterfassung und DSGVO:
Was praktisch relevant ist – ohne Panikmache.

Zeiterfassung ist nicht automatisch ein Datenschutzproblem. Relevant sind Zweck, Umfang, Transparenz und Datenminimierung – nicht die Tatsache, dass Arbeitszeiten digital erfasst werden. Diese Seite erklärt, was Betriebe praktisch beachten sollten – und wo es wirklich sensibler wird.

Systeme vergleichen Zeiterfassung ohne GPS
  • Digitale Zeiterfassung ist datenschutzrechtlich kein Sonderfall
  • Wo der Unterschied zwischen Zeiterfassung und Standorttracking liegt
  • Praktische Einordnung für kleine Betriebe ohne Datenschutzabteilung
Ausgangslage

Warum Zeiterfassung und DSGVO oft unnötig kompliziert wirken

Wer nach „Zeiterfassung DSGVO" sucht, findet oft Warnungen, Checklisten und Hinweise auf Bußgelder. Was dabei untergeht: Für die meisten kleinen Betriebe ist das Thema deutlich überschaubarer als die Diskussion suggeriert.

Arbeitszeiten sind personenbezogene Daten – das ist klar. Aber die Verarbeitung dieser Daten ist in einem Arbeitsverhältnis grundsätzlich zulässig, wenn sie zweckgebunden, verhältnismäßig und transparent erfolgt. Das ist kein juristischer Sonderfall, sondern der Normalfall bei digitaler Zeiterfassung.

Wo es wirklich sensibler wird: Standortdaten, kontinuierliches Tracking, Funktionen, die über reine Zeiterfassung hinausgehen. Diese Seite erklärt den Unterschied – und was Betriebe konkret tun sollten. Sie ersetzt keine Rechtsberatung.

Was wirklich zählt

Was bei Zeiterfassung datenschutzrechtlich praktisch relevant ist

Zweckbindung

Zeiterfassungsdaten dürfen für die Lohnabrechnung, die Einhaltung der Arbeitszeit und die Nachweispflichten genutzt werden – nicht für andere Zwecke. Das ist klar eingrenzbar.

Datenminimierung

Nur erheben, was wirklich gebraucht wird. Beginn, Ende, Dauer – das ist der Kern. Zusatzfunktionen wie GPS oder biometrische Erfassung erhöhen den Datenbedarf und damit die Anforderungen.

Transparenz

Mitarbeitende müssen wissen, welche Daten erfasst werden, zu welchem Zweck, wer Zugriff hat und wie lange sie gespeichert werden. Das ist keine große Hürde – aber sie wird oft vergessen.

Zugriffsrechte

Nicht jeder im Betrieb muss auf alle Zeiterfassungsdaten aller Mitarbeitenden zugreifen können. Klare Rollen helfen und reduzieren das Risiko unnötiger Datenzugriffe.

Konkret

Welche Daten typischerweise verarbeitet werden

Standard-Zeiterfassung. Beginn, Ende und Dauer der Arbeitszeit – je Mitarbeitenden und Arbeitstag. Korrekturen mit Protokoll, wer wann was geändert hat. Bei Schichtbetrieb zusätzlich Schichtzuweisung. Das sind übliche, klar begrenzte Datenpunkte.

Einsatz- und Auftragsdaten. Wenn Stunden einem Kunden, Objekt oder Auftrag zugeordnet werden, kommen diese Kategorien hinzu. Das ist in der Regel unproblematisch, solange der Zweck klar ist.

Standortdaten – ein anderer Fall. Wenn GPS aktiviert ist, werden Standortdaten erfasst – und das ist datenschutzrechtlich sensibler als reine Zeiterfassung. Standortdaten ermöglichen Rückschlüsse, die über die Arbeitszeit hinausgehen.

Was nicht automatisch erfasst werden sollte. Biometrische Daten, kontinuierliches Standorttracking, Aktivitätsprotokolle – solche Funktionen sollten nur eingesetzt werden, wenn dafür eine klare Notwendigkeit und rechtliche Grundlage besteht.

Wichtiger Unterschied

Warum GPS und Tracking sensibler sind

Reine Zeiterfassung – Beginn, Ende, Dauer – ist datenschutzrechtlich klar einzuordnen: Zweck ist die Einhaltung der Arbeitszeit und die Lohnabrechnung. Das ist nachvollziehbar, verhältnismäßig und kommunizierbar.

Standortdaten sind eine andere Kategorie. Sie ermöglichen Rückschlüsse darauf, wo sich eine Person zu welchem Zeitpunkt aufgehalten hat – über die reine Arbeitszeitmessung hinaus. Das erhöht die Anforderungen an Zweckbindung, Verhältnismäßigkeit und Transparenz.

Praktische Einordnung

GPS beim Stempeln – also eine Standorterfassung zum Zeitpunkt des Ein- oder Ausstempelns – ist etwas anderes als kontinuierliches Tracking. Beides ist sensibler als reine Zeiterfassung. Beides sollte nur dann eingesetzt werden, wenn es einen klaren betrieblichen Grund gibt und das Team informiert ist. Wer GPS aktiviert, nur weil es im Funktionsumfang enthalten ist, handelt nicht im Sinne der Datenminimierung.

Systemeinordnung

Drei Systemtypen, eingeordnet nach Datenbedarf

Clockodo
Für Betriebe mit geringem Datenbedarf

Clockodo erfasst Zeitdaten ohne GPS-Pflicht. Wenige Datenpunkte, schlanke Struktur. Laut Anbieter Hosting in der EU – im Einzelfall prüfen. Für Betriebe, die reine Zeiterfassung und Projektzuordnung wollen, ein überschaubarer Ansatz.

  • Schlanker Datenbedarf, kein GPS-Zwang
  • Einfache Bedienung, wenige Zusatzfunktionen
  • Hosting laut Anbieter in der EU

Weniger ideal: Für besondere datenschutzrechtliche Anforderungen bietet Clockodo wenig Konfigurationstiefe. Was konkret wo verarbeitet wird, sollte vor dem Einsatz direkt beim Anbieter nachgefragt werden.

Zur Clockodo-Einordnung
Papershift
Für Schichtbetrieb mit optionalen Standortfunktionen

Papershift bietet mehr Funktionsumfang – Schichtplanung, optionale Standorterfassung. Laut Anbieter ist GPS nicht zwingend aktiviert. Wer diese Funktionen braucht, setzt sie bewusst ein – wer sie nicht braucht, lässt sie deaktiviert.

  • Flexibler Funktionsumfang
  • GPS optional laut Anbieter
  • DATEV-Schnittstelle laut Anbieter

Weniger ideal: Mehr Funktionen bedeuten mehr Konfigurationsbedarf. Was im Einzelfall aktiv ist und verarbeitet wird, sollte vor dem Einsatz geprüft werden.

Zur Papershift-Einordnung
Factorial
Für wachsende Betriebe mit HR-Prozessen

Factorial verarbeitet neben Zeiterfassung auch HR-Daten – Personalakten, Urlaubsdaten, Dokumente. Wer diesen Umfang braucht, findet hier eine strukturierte Lösung. Für reine Zeiterfassung ist das überdimensioniert.

  • Strukturierte Datenverwaltung für HR-Prozesse
  • Zeiterfassung mit Genehmigungsworkflow
  • Hosting laut Anbieter in der EU

Weniger ideal: Wer mehr Daten verarbeitet, braucht klarere Prozesse für Zugriff, Zweck und Aufbewahrung. Im Einzelfall prüfen, was wirklich gebraucht wird.

Zur Factorial-Einordnung
Praxishinweise

Was bei DSGVO und Zeiterfassung häufig schiefläuft

Mehr Daten erfassen als nötig. GPS aktiviert, Aktivitätsprotokolle eingeschaltet, obwohl beides nicht gebraucht wird. Was nicht gebraucht wird, sollte nicht aktiv sein.

GPS aktivieren, obwohl keine Notwendigkeit besteht. GPS ohne klaren betrieblichen Grund erzeugt Datenschutzfragen und Misstrauen im Team – ohne entsprechenden Nutzen.

Team nicht transparent informieren. Wer Zeiterfassung einführt, ohne die Mitarbeitenden über Zweck, Umfang und Zugriffsrechte zu informieren, verletzt eine grundlegende Anforderung – und schafft Unsicherheit.

Software nach Schlagworten statt nach Datenbedarf auswählen. „DSGVO-konform" oder „EU-Hosting" auf einem Produktblatt ist kein abschließender Nachweis. Was konkret verarbeitet wird, sollte direkt nachgefragt werden.

Zeiterfassung ohne GPS
Worauf Betriebe bei DSGVO und Zeiterfassung achten sollten
  • 🎯
    Nur erforderliche Daten aktivieren

    GPS und andere Zusatzfunktionen nur einschalten, wenn sie wirklich gebraucht werden.

  • 👥
    Team transparent informieren

    Was erfasst wird, warum und wer Zugriff hat – das sollte klar kommuniziert sein.

  • 🔒
    Rollen und Zugriffe klar regeln

    Nicht jeder braucht Zugriff auf alle Daten aller Mitarbeitenden.

  • 🔍
    Anbieterangaben prüfen

    Hosting, Datenverarbeitung, Unterauftragsverarbeitung vor der Entscheidung klären.

  • 💬
    Bei Sonderfällen beraten lassen

    GPS, biometrische Daten oder besondere Einsatzfelder können zusätzliche Anforderungen mit sich bringen.

Häufige Fragen

Fragen zu DSGVO und Zeiterfassung

Ist digitale Zeiterfassung mit der DSGVO vereinbar?

Grundsätzlich ja. Arbeitszeiten sind personenbezogene Daten, deren Verarbeitung in einem Arbeitsverhältnis zulässig ist – wenn sie zweckgebunden, verhältnismäßig und transparent erfolgt. Digitale Zeiterfassung ist datenschutzrechtlich kein Sonderfall. Relevant ist, welche Daten konkret erfasst werden, wer Zugriff hat und ob die Mitarbeitenden informiert sind.

Ist GPS bei Zeiterfassung datenschutzrechtlich problematischer?

Ja – Standortdaten sind eine andere Datenkategorie als reine Zeitdaten. Sie ermöglichen Rückschlüsse, die über die Arbeitszeitmessung hinausgehen, und erfordern deshalb eine klarere Zweckbindung, mehr Transparenz und eine bewusstere Entscheidung. GPS beim Stempeln ist weniger sensibel als kontinuierliches Tracking – aber beides ist sensibler als reine Zeiterfassung ohne Standortbezug.

Worauf sollten kleine Betriebe bei DSGVO und Zeiterfassung besonders achten?

Datenminimierung: nur erfassen, was wirklich gebraucht wird. Transparenz: Mitarbeitende informieren, was erfasst wird und warum. Zugriffsrechte: wer darf was sehen. Anbieterangaben prüfen: wo werden Daten gespeichert, wer hat Zugriff. Bei Sonderfällen – GPS, biometrische Erfassung, besondere Einsatzfelder – fachkundig beraten lassen, statt auf Produktbeschreibungen zu vertrauen.

DSGVO eingeordnet –
jetzt das passende System finden.

Der Vergleich zeigt, welche Systeme für kleine Betriebe alltagstauglich sind. Wer mobile Erfassung ohne GPS sucht, findet auf der passenden Themenseite eine spezifischere Einordnung.

Systeme vergleichen Zeiterfassung ohne GPS