Datenschutz in der Zeiterfassung: Gesetzliche Anforderungen und Best Practices für Schweizer Unternehmen

Die digitale Zeiterfassung ist in der Schweiz ein fester Bestandteil moderner Arbeitsorganisation. Unternehmen sind jedoch nicht nur verpflichtet, Arbeitszeiten präzise zu dokumentieren, sondern müssen auch sicherstellen, dass personenbezogene Daten von Mitarbeitenden rechtskonform verarbeitet werden.

Mit dem revidierten Datenschutzgesetz (revDSG), das am 1. September 2023 in Kraft getreten ist, haben sich die Anforderungen an Unternehmen verschärft. Dieser Beitrag erläutert, welche Datenschutzrichtlinien für Zeiterfassungssysteme gelten, wie Unternehmen die Einhaltung der Vorschriften sicherstellen und welche Lösungen für eine gesetzeskonforme und sichere Zeiterfassung existieren.

Welche Daten müssen geschützt werden?

Die Zeiterfassung erfasst nicht nur Arbeitszeiten, sondern auch eine Vielzahl personenbezogener Daten, die für Phishing oder andere Cyberangriffe genutzt werden können. Daher ist es entscheidend, dass Unternehmen sich bewusst sind, welche sensiblen Informationen verarbeitet werden und welche Sicherheitsmassnahmen erforderlich sind.

1. Personenbezogene Stammdaten

Diese Daten sind notwendig, um die erfassten Arbeitszeiten einer bestimmten Person zuzuordnen. Dazu gehören:

• Name und Vorname
• Mitarbeiternummer oder Personal-ID
• E-Mail-Adresse und Login-Daten für das Zeiterfassungssystem
• Abteilung und Position im Unternehmen
• Name des Arbeitgebers und Standort der Niederlassung

Risiko: Diese Informationen können für gezielte Phishing-Angriffe oder Identitätsdiebstahl verwendet werden.

Phishing zählt zu den prominentesten Bedrohungen denn:

• Phishing-Mails sind einfach zu erstellen und massenhaft zu versenden.
• Mitarbeitende, die Zugriff auf Zeiterfassungssysteme haben, könnten durch gefälschte Mails dazu verleitet werden, Login-Daten preiszugeben.
• Zeiterfassungssysteme enthalten personenbezogene Daten, die für Angreifer attraktiv sind.

2. Arbeitszeitbezogene Daten

Diese Daten dienen der Dokumentation der Arbeitszeit und werden zur Lohnabrechnung sowie zur Einhaltung gesetzlicher Vorschriften genutzt:

• Beginn und Ende der Arbeitszeit
• Erfasste Pausen- und Überstundenzeiten
• Fehlzeiten (Krankheit, Urlaub, unbezahlte Abwesenheit)
• Schichtpläne und Arbeitszeitmodelle

Risiko: Eine ungesicherte Speicherung kann zu Missbrauch führen, etwa zur Manipulation von Arbeitszeiten oder unbefugtem Zugriff auf Krankheitsdaten.

3. Standort- und Bewegungsdaten

In mobilen Arbeitsmodellen oder Aussendiensttätigkeiten können Unternehmen zusätzlich Standortdaten erfassen, beispielsweise durch:

• GPS-Tracking bei mobilen Mitarbeitenden
• IP-Adressen für den Login aus verschiedenen Standorten
• Zugangsdaten zu spezifischen Arbeitsorten oder Baustellen

Risiko: Standortdaten sind besonders sensibel, da sie Bewegungsmuster von Mitarbeitenden offenlegen können. Ein Missbrauch dieser Daten kann ein erhebliches Datenschutzrisiko darstellen.

4. Projektdaten und Tätigkeitsnachweise

In vielen Unternehmen wird die Zeiterfassung mit Projektmanagement-Tools kombiniert. Dadurch entstehen zusätzliche sensible Daten, darunter:

• Projektnamen und Kundendaten
• Erfasste Arbeitszeit pro Projekt oder Auftrag
• Detaillierte Tätigkeitsberichte oder Leistungsnachweise

Risiko: Wenn diese Daten in falsche Hände geraten, könnten Wettbewerber oder Angreifer wertvolle Einblicke in unternehmensinterne Abläufe erhalten.

5. Geräte- und Zugriffsdaten

Viele moderne Zeiterfassungssysteme speichern Informationen über die Nutzung und Zugriffe der Nutzenden, darunter:

• Geräteinformationen (z.B. verwendetes Betriebssystem, Browsertyp)
• Login-Zeiten und Fehlversuche beim Login
• Zugriffsrechte und Rollen innerhalb des Systems

Risiko: Diese Daten können genutzt werden, um gezielt Schwachstellen in der IT-Sicherheit anzugreifen, etwa durch Brute-Force-Angriffe oder Social Engineering.

Gesetzliche Grundlagen zum Datenschutz in der Schweiz: Das revidierte Schweizer Datenschutzgesetz (revDSG)

Das Schweizer Datenschutzgesetz (DSG) wurde überarbeitet, um den neuen technologischen Entwicklungen Rechnung zu tragen.

Die wichtigsten Bestimmungen, die für die Zeiterfassung relevant sind, umfassen:

• Datenminimierung: Unternehmen dürfen nur die für die Zeiterfassung notwendigen Daten erfassen und verarbeiten.
• Zweckbindung: Zeiterfassungsdaten dürfen ausschliesslich für personalbezogene Zwecke wie die Lohnabrechnung oder die Einhaltung gesetzlicher Arbeitszeitregelungen genutzt werden.
• Informationspflicht: Arbeitgebende müssen Mitarbeitende transparent darüber informieren, welche Daten erhoben werden, zu welchem Zweck und wie lange diese gespeichert bleiben.
• Datensicherheit: Unternehmen müssen geeignete technische und organisatorische Massnahmen ergreifen, um die Sicherheit der Daten zu gewährleisten. Dazu gehören beispielsweise Verschlüsselung, Zugriffsbeschränkungen und regelmässige Sicherheitsaudits.
• Speicherfristen: In der Schweiz müssen arbeitsrechtlich relevante Daten mindestens fünf Jahre aufbewahrt werden. Nach Ablauf dieser Frist sind die Daten zu löschen, sofern sie nicht mehr benötigt werden.

Ein Verstoss gegen diese Bestimmungen kann zu Sanktionen führen, die von Bussgeldern bis hin zu Haftungsrisiken reichen.

Mögliche Sanktionen für Unternehmen

Bussgelder von bis zu CHF 250'000

Unternehmen können indirekt belangt werden, wenn sich Verstösse auf mangelhafte interne Datenschutzrichtlinien oder unzureichende Sicherheitsmassnahmen zurückführen lassen. Falls die Ermittlung der verantwortlichen natürlichen Person unverhältnismässig wäre, kann die zuständige Behörde stattdessen das Unternehmen mit einer Geldbusse belegen (bis zu CHF 50'000).

Verwaltungsrechtliche Massnahmen durch den EDÖB

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kann Unternehmen verpflichten, ihre Datenbearbeitung zu ändern oder einzustellen. Dazu zählen Anordnungen zur Anpassung von Zeiterfassungssystemen, wenn diese nicht den gesetzlichen Datenschutzanforderungen entsprechen.

Haftungsrisiken und Schadensersatzforderungen

Betroffene Mitarbeitende können zivilrechtliche Ansprüche gegen das Unternehmen geltend machen, wenn Datenschutzverstösse nachweislich zu einem Schaden geführt haben (z. B. durch unbefugte Weitergabe oder Leaks von Zeiterfassungsdaten). Unternehmen müssen nachweisen können, dass sie alle erforderlichen Massnahmen zur Datensicherheit getroffen haben.

Reputationsschäden und Vertrauensverlust

Datenschutzverletzungen, insbesondere Leaks oder unbefugte Zugriffe auf sensible Mitarbeiterdaten, können erhebliche Reputationsverluste zur Folge haben. Gerade in Branchen mit hoher Sensibilität für Datenschutz (z.B. Finanzsektor, Gesundheitswesen) kann dies zu geschäftlichen Nachteilen führen.

Sonderfall: Mitarbeitende mit Wohnsitz in Deutschland und Arbeitsort in der Schweiz

Ein besonderer Fall tritt auf, wenn Mitarbeitende in Deutschland wohnen, aber in einem Schweizer Unternehmen arbeiten. In diesem Szenario stellt sich die Frage, ob neben dem revDSG auch die europäische Datenschutz-Grundverordnung (DSGVO) Anwendung findet.

Grundsätzlich gilt für Unternehmen mit Sitz in der Schweiz das revDSG. Allerdings greift die DSGVO, wenn personenbezogene Daten von Personen verarbeitet werden, die sich in der EU befinden. Das bedeutet, dass Schweizer Arbeitgeber, die Daten von in Deutschland ansässigen Mitarbeitenden erfassen, auch die DSGVO berücksichtigen müssen.

Praktische Auswirkungen sind unter anderem:

• Erhöhte Transparenzanforderungen: Schweizer Unternehmen müssen sicherstellen, dass sie DSGVO-konforme Datenschutzerklärungen bereitstellen.
• Zusätzliche Einwilligungserfordernisse: Mitarbeitende mit Wohnsitz in Deutschland müssen möglicherweise aktiv in die Datenverarbeitung einwilligen.
• Rechte auf Datenlöschung und Datenportabilität: Mitarbeitende in Deutschland haben nach DSGVO das Recht, ihre gespeicherten Zeiterfassungsdaten löschen oder an ein anderes Unternehmen übertragen zu lassen.

Best Practices für den Datenschutz in der Zeiterfassung

Unternehmen sollten sich bewusst sein, dass Datenschutzmassnahmen nicht isoliert betrachtet werden können. Einige Massnahmen sind gesetzlich vorgeschrieben, während andere die Sicherheit weiter erhöhen. Die folgenden Best Practices sind in drei Kategorien unterteilt:

• Unbedingt erforderlich (gesetzliche Mindestanforderungen nach revDSG)
• Empfohlen (sinnvolle Erweiterungen zur Erhöhung der Sicherheit)
• Optional (zusätzliche Massnahmen, die je nach Unternehmensgrösse oder Sensibilität der Daten sinnvoll sein können)

1. Unbedingt erforderlich: Gesetzliche Mindestanforderungen

Datensparsamkeit und Zweckbindung

• Erfassung nur der wirklich notwendigen Daten (z.B. Arbeitszeiten, keine umfassenden Standortdaten, wenn nicht erforderlich).
• Nutzung der Daten ausschliesslich für den vorgesehenen Zweck (Zeiterfassung, Lohnabrechnung).

Informationspflicht und transparente Kommunikation

• Mitarbeitende müssen darüber informiert werden, welche Daten erhoben, gespeichert und verarbeitet werden.
• Bereitstellung einer Datenschutzrichtlinie für alle Mitarbeitenden.

Zugriffsrechte und Rechtemanagement

• Nur autorisierte Personen dürfen Zugriff auf Zeiterfassungsdaten erhalten (z.B. HR-Abteilung, direkte Vorgesetzte).
• Prinzip der minimalen Berechtigung („Least Privilege Principle“): Mitarbeitende haben nur Zugriff auf die Daten, die sie zur Erfüllung ihrer Aufgaben benötigen.

Sichere Speicherung und Aufbewahrungsfristen

• Zeiterfassungsdaten müssen sicher gespeichert werden, vorzugsweise verschlüsselt.
• Speicherung nur so lange, wie gesetzlich vorgeschrieben (in der Schweiz mind. 5 Jahre für arbeitsrechtlich relevante Daten).

2. Empfohlen: Erhöhte Sicherheit und Risikominimierung

Datenverschlüsselung während der Übertragung und Speicherung

• Alle personenbezogenen Daten sollten mit modernen Verschlüsselungsverfahren geschützt sein.
• Besonders wichtig für Cloud-basierte Systeme oder externe Serverlösungen.

Regelmässige Schulungen für Mitarbeitende

• Sensibilisierung für Datenschutzrisiken, insbesondere im Umgang mit digitalen Zeiterfassungssystemen.
• Aufklärung über mögliche Gefahren wie Phishing-Angriffe und Social Engineering.

Multi-Faktor-Authentifizierung (MFA)

• Zusätzliche Sicherheitsebene für den Zugriff auf Zeiterfassungssysteme (z.B. Passwort + SMS-Code oder Authenticator-App).
• Besonders relevant für Führungskräfte oder HR-Abteilungen mit umfassendem Datenzugriff.

Regelmässige Sicherheitsüberprüfungen und Audits

• Interne oder externe Datenschutzprüfungen zur Identifikation von Sicherheitslücken.
• Jährliche Compliance-Kontrollen zur Einhaltung der Datenschutzrichtlinien.

3. Optional: Zusätzliche Massnahmen für Unternehmen mit hohen Datenschutzanforderungen

Anonymisierung oder Pseudonymisierung sensibler Daten

• Besonders für Unternehmen mit hochsensiblen Daten (z.B. Gesundheitssektor, Finanzbranche) sinnvoll.
• Mitarbeitende können z.B. über eine ID anstatt mit ihrem Namen geführt werden.

Lösungen mit automatischem Datenschutz-Reporting

• Automatisierte Berichte über Datenschutzverstösse oder verdächtige Zugriffe auf Zeiterfassungsdaten.
• Sinnvoll für Unternehmen mit einer hohen Anzahl an Mitarbeitenden oder komplexen Arbeitszeitmodellen.

Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Softwarelösungen sollten in regelmässigen Abständen geprüft werden, um sicherzustellen, dass sie den aktuellen Datenschutzstandards entsprechen. Dies kann durch interne Datenschutzbeauftragte oder externe Audits erfolgen.

Fazit: Datenschutz in der Zeiterfassung ist gesetzliche Pflicht und strategischer Vorteil

Datenschutz in der Zeiterfassung ist für Schweizer Unternehmen nicht nur eine gesetzliche Pflicht, sondern auch ein entscheidender Faktor für Vertrauen.

• Das revidierte Datenschutzgesetz (revDSG) regelt klar, welche Massnahmen zur Datensicherheit erforderlich sind.
• Unternehmen mit grenzüberschreitenden Mitarbeitenden müssen zusätzlich die DSGVO berücksichtigen.
• Die Nutzung sicherer Zeiterfassungssysteme wie proles, klare Datenschutzrichtlinien und regelmässige Audits sind zentrale Massnahmen zur Einhaltung der Datenschutzbestimmungen.

Unternehmen, die den Datenschutz konsequent umsetzen, profitieren nicht nur von der rechtlichen Sicherheit, sondern stärken auch ihr Image als verantwortungsvoller Arbeitgeber.