<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=6041025&amp;fmt=gif">

Datenschutz bei Arbeitszeiterfassung: Schweizer Anforderungen verständlich erklärt

Adrian Hofmann

Arbeitszeiterfassung gehört in der Schweiz zum Arbeitsalltag vieler Unternehmen. Sie ist in den meisten Fällen gesetzlich vorgeschrieben und bildet zugleich die Grundlage für eine datenschutzrechtlich zulässige Bearbeitung von Arbeitszeitdaten. Gleichzeitig werden dabei personenbezogene Daten von Mitarbeitenden verarbeitet. Genau hier setzt der Datenschutz an.

Viele Unternehmen sind unsicher, welche Anforderungen in der Schweiz gelten, wie streng diese sind und was in der Praxis wirklich umgesetzt werden muss. Dieser Beitrag erklärt verständlich, welche Datenschutzvorgaben bei der Arbeitszeiterfassung relevant sind, welche Rechte Mitarbeitende haben und wie Unternehmen Datenschutz pragmatisch und rechtskonform umsetzen können.

Warum Datenschutz bei Arbeitszeiterfassung so wichtig ist

Arbeitszeiterfassung erfasst personenbezogene Daten. Dazu gehören:

  • Arbeitszeiten

  • Pausenzeiten

  • Arbeitsorte

  • Projektbezogene Tätigkeiten

  • Eventuell biometrische Daten (z.B. Fingerabdruck, Gesichtserkennung)

  • Standortdaten bei mobilen Mitarbeitenden

Diese Daten können sehr sensible Informationen enthalten. Sie geben Auskunft darüber, wann Mitarbeitende wo gearbeitet haben. Werden solche Daten nicht geschützt, ergeben sich Risiken wie:

  • Einsicht durch Unbefugte

  • Missbrauch zur Kontrolle statt zur Abrechnung

  • Verletzung von Persönlichkeitsrechten

  • Rechtliche Konsequenzen für das Unternehmen

Datenschutz dient dem Schutz der Privatsphäre der Mitarbeitenden, aber auch der Rechtssicherheit des Unternehmens. Ein korrekt implementiertes System schafft Vertrauen, fördert die Akzeptanz und minimiert Risiken.

 

Welches Recht gilt in der Schweiz?

In der Schweiz ist das zentrale Gesetz zum Datenschutz das Datenschutzgesetz DSG. Es wurde im September 2023 umfassend revidiert und trat weitgehend 2024 in Kraft. Parallel gilt das Datenschutzrecht in Spezialgesetzen wie etwa im Arbeitsrecht, in branchenspezifischen Bestimmungen oder im Sozialversicherungsrecht.

Wichtig ist auch die Verordnung zum Datenschutzgesetz (VDSG), die Details zur Umsetzung enthält. Gemeinsam definieren diese Regelwerke, wie personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen.

Ein weiterer zentraler Punkt: Auch wenn die Schweiz nicht zur EU gehört, orientiert sich das schweizerische Datenschutzrecht stark an der EU Datenschutzgrundverordnung (DSGVO). Für Unternehmen, die Daten von EU Personen verarbeiten, gelten zusätzlich die EU Regeln.

photographic Personenbezogene Daten wie Name Personalnummer EMail Adresse Arbeitszeiten Erstelle mir ein Bild mit einem Mensch und Icons-1

Was sind personenbezogene Daten?

Das DSG unterscheidet zwischen:

Personenbezogene Daten
Alle Angaben, die sich auf eine identifizierte oder identifizierbare Person beziehen.
Beispiele: Name, Personalnummer, E Mail Adresse, Arbeitszeiten

Besondere personenbezogene Daten
Daten, die besonders sensibel sind, z. B.:

  • Gesundheitsdaten

  • Biometrische Daten, wenn sie zur Identifikation dienen

  • Standortdaten mit hoher Aussagekraft

Arbeitszeiterfassungsdaten zählen grundsätzlich zu den personenbezogenen Daten. Wenn etwa biometrische Identifikationsverfahren zum Einsatz kommen, werden Teile dieser Daten zu besonderen personenbezogenen Daten und unterliegen noch strengeren Regeln.

 

Rechtsgrundlagen für die Datenbearbeitung

Damit ein Unternehmen Arbeitszeiten rechtskonform erfassen darf, braucht es eine Rechtsgrundlage. Das kann sein:

Vertragliche Grundlage

Die Erhebung ist notwendig zur Erfüllung des Arbeitsvertrags. Zum Beispiel um Lohn korrekt zu berechnen.

Gesetzliche Grundlage

Gesetze verlangen in der Schweiz die Erfassung bestimmter Arbeitszeitdaten. Diese gesetzliche Pflicht bildet zugleich eine zentrale Rechtsgrundlage im Sinne des Datenschutzgesetzes (DSG) für die Bearbeitung von Arbeitszeitdaten.

Einwilligung

In manchen Fällen kann eine freiwillige Einwilligung der Mitarbeitenden eingeholt werden. Das ist aber nur zulässig, wenn keine andere Rechtsgrundlage besteht und die Mitarbeitenden wirklich frei entscheiden können.

In der Praxis stützen sich die meisten Arbeitszeiterfassungslösungen auf vertragliche oder gesetzliche Grundlagen und nicht auf freiwillige Einwilligungen. Das ist stabiler und weniger risikobehaftet.

photographic Mensch mit einem Buch in der Hand wo DSG darauf geschrieben ist-1

Grundsätze der Datenbearbeitung

Das DSG schreibt einige grundlegende Prinzipien vor, die auch bei der Arbeitszeiterfassung gelten:

Datenbearbeitung muss rechtmässig und verhältnismässig sein

Nur Daten, die wirklich gebraucht werden, dürfen erfasst werden. Sammeln aus „Bequemlichkeit“ ist nicht erlaubt.

Transparenz

Die Mitarbeitenden müssen wissen:

  • welche Daten erfasst werden

  • zu welchem Zweck

  • wie lange sie gespeichert werden

  • wer Zugang dazu hat

Zweckbindung

Die gesetzliche Pflicht zur Arbeitszeiterfassung rechtfertigt die Datenerhebung, nicht jedoch eine darüber hinausgehende Leistungs oder Verhaltenskontrolle, sofern diese nicht transparent kommuniziert wurde.

Datenqualität

Die Daten müssen sachlich richtig und auf dem aktuellen Stand sein.

Datensicherheit

Es müssen geeignete technische und organisatorische Massnahmen existieren, um Daten vor Verlust, Manipulation oder unbefugtem Zugriff zu schuetzen.

 

Welche Daten dürfen erfasst werden?

Welche Arbeitszeitdaten konkret erfasst werden müssen, ergibt sich aus arbeitsrechtlichen Vorgaben. Für den Datenschutz entscheidend ist, dass nur diese gesetzlich erforderlichen Daten verarbeitet und nicht zweckentfremdet werden.

Das bedeutet konkret:

  • Es sollten nur die Daten erfasst werden, die tatsächlich notwendig sind, z. B. Arbeitsbeginn, Arbeitsende und Pausen.

  • Falls projektbezogene Zeiten erfasst werden, ist der Zweck transparent zu kommunizieren.

  • Bei Standortdaten oder biometrischen Verfahren ist besondere Zurückhaltung geboten. Diese sind nur zulässig, wenn ein klarer, legitimer Zweck besteht und keine milderen Mittel zur Verfügung stehen.

Beispiele:

Datenart Erlaubt Erklärung
Arbeitsbeginn Arbeitsende Ja Grundlage zur Lohnabrechnung
Pausenzeiten Ja Gesetzliche Vorgaben
Projektcodes Ja Wenn notwendig fuers Controlling
GPS Standortdaten Nur in Ausnahmefällen Wenn Mitarbeitende mobil sind und es einen legitimen Arbeitszweck gibt
Biometrische Identifikation Nur mit sehr starkem Schutz Nur wenn andere sichere Optionen nicht praktikabel sind

 

Informationspflichten gegenüber Mitarbeitenden

Transparenz ist ein Kernpunkt des Datenschutzes. Mitarbeitende müssen informiert werden, bevor Daten erfasst werden. Eine Informationspflicht kann durch ein Datenschutzmerkblatt, eine Richtlinie zur Arbeitszeiterfassung oder im Arbeitsvertrag erfolgen.

Wichtige Inhalte der Information:

  • Welche Daten werden erfasst?

  • Zu welchem Zweck?

  • Wie lange werden Daten gespeichert?

  • Wer hat Zugriff?

  • Worin besteht der Nutzen fürs Unternehmen und die Mitarbeitenden?

  • Wo können Betroffene ihre Rechte geltend machen?

Diese Informationen sollten schriftlich zur Verfügung stehen und leicht zugänglich sein.

 

Mitarbeitendenrechte im Überblick

Das DSG gewährt Mitarbeitenden verschiedene Rechte

Recht auf Auskunft

Mitarbeitende können verlangen, Auskunft darüber zu erhalten, welche Daten über sie gespeichert sind.

Recht auf Berichtigung

Sind Daten falsch oder unvollständig, können sie korrigiert werden.

Recht auf Löschung

Unter bestimmten Voraussetzungen können Mitarbeitende löschen lassen, was nicht mehr gebraucht wird.

Recht auf Widerspruch

In Ausnahmefällen können Mitarbeitende der Verarbeitung widersprechen.

Arbeitgeber müssen diese Rechte kennen und sicherstellen, dass Mitarbeitende sie ausüben können.

 

Datensicherheit in der Praxis

Datensicherheit ist kein leeres Wort. Datenschutz heisst auch Schutz vor Verlust und Missbrauch.

Technische Massnahmen

  • Verschlüsselung der Daten

  • Gesicherte Server

  • Rollenbasierte Zugriffe

  • Passwörter und Authentifizierung

Organisatorische Massnahmen

  • Datenschutzrichtlinien

  • Zugriffsprotokolle

  • Regelmässige Backups

  • Schulungen der Mitarbeitenden

Cloud versus lokale Speicherung

Beide Modelle sind möglich. Entscheidend ist, dass die Sicherheit stimmt. Bei Cloud Lösungen muss genau geklärt sein, wo die Server stehen und welche Datenschutzstandards gelten.

 

Biometrische Daten: Vorsicht geboten

Immer mehr Unternehmen nutzen biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung für die Zeiterfassen. Das ist rechtlich sensibel.

Solche Daten gelten als besondere personenbezogene Daten. Ihre Erhebung ist nur erlaubt, wenn:

  • keine milderen Mittel zur Verfügung stehen

  • ein klarer legitimer Zweck besteht

  • höchster Datenschutzstandard eingehalten wird

In vielen Fällen reicht eine Chipkarte oder PIN. Dann bestehen weniger Risiken und Anforderungen.

photographic Mitarbeitende bei denen Standortdaten erfasst werden-1

Standortdaten und mobile Mitarbeitende

Gerade bei aussenarbeitenden Teams oder im Service Bereich kommen oft Standortdaten ins Spiel. Hier gilt:

  • Standortdaten dürfen nur erfasst werden, wenn sie wirklich notwendig sind, z. B. zur Sicherheit der Mitarbeitenden oder zur Einsatzplanung

  • Mitarbeitende müssen transparent informiert werden

  • Es darf keine lückenlose Überwachung entstehen

Ein gutes Beispiel ist die reine Erfassung des Arbeitsortes bei Checkin und Checkout statt permanenter GPS Überwachung.

 

Zweckbindung: Daten verwenden, wofür sie gesammelt wurden

Ein gängiger Fehler ist es, Daten mehrfach zu verwenden ohne Information.

Beispiel:

Sie erfassen Arbeitszeiten zur Lohnabrechnung. Dann nutzen Sie dieselben Daten uneingeschränkt zur Leistungsbeurteilung ohne vorher darauf hinzuweisen.

Das verstösst gegen den Grundsatz der Zweckbindung. Soll eine Verwendung der Daten zu einem anderen Zweck erfolgen, muss dies vorgängig transparent kommuniziert und rechtlich geprüft werden.

 

Aufbewahrungsfristen: Wie lange dürfen Daten gespeichert werden?

Das Schweizer Arbeitsgesetz (ArG) schreibt vor, dass Arbeitszeitaufzeichnungen, einschliesslich Pausen, Überstunden und Ruhezeiten, mindestens fünf Jahre aufbewahrt werden müssen. Diese Unterlagen müssen bei Kontrollen durch die kantonale Arbeitsinspektion vorgelegt werden können.

Arbeitszeitdaten unterliegen gesetzlichen Aufbewahrungspflichten. Aus datenschutzrechtlicher Sicht gilt zusätzlich, dass Daten nicht länger gespeichert werden dürfen, als es der gesetzliche Zweck erfordert, und anschliessend zu löschen sind.

Beispiel:

  • Lohnabrechnungsdaten können bis zu zehn Jahre relevant sein, etwa für steuerliche oder sozialversicherungsrechtliche Nachweise.

  • Reine Anwesenheits und Arbeitszeitdaten werden häufig nach zwei bis fünf Jahren gelöscht, sofern keine weiteren gesetzlichen oder vertraglichen Gründe für eine längere Aufbewahrung bestehen.

Eine klare Aufbewahrungsrichtlinie hilft, Transparenz zu schaffen und Speicherchaos zu vermeiden.

photographic Mensch der im Archiv nach Daten in einem Ordner sucht

Was tun bei Datenschutzverletzungen?

Trotz aller Massnahmen kann es zu einem Vorfall kommen. Dann gilt in der Schweiz:

  • Den Vorfall intern untersuchen

  • Betroffene informieren, wenn ein hohes Risiko besteht

  • Eventuell Meldung an den Datenschutzbeauftragten machen

Ein vorbereitetes Notfallkonzept reduziert Reaktionszeiten und minimiert Schaden.

 

Datenschutzbeauftragter: Pflicht oder Empfehlung?

Nicht jedes Unternehmen muss zwingend einen Datenschutzbeauftragten haben. Aber:

  • Bei systematischen Auswertungen

  • Bei umfangreicher Datenverarbeitung

  • Bei sensiblen Daten

ist es sehr sinnvoll, eine verantwortliche Person zu bestimmen.

Das kann ein interner Mitarbeitender sein oder ein externer Dienstleister sein. 

Sind Sie unsicher, ob Ihre aktuelle Arbeitszeiterfassung datenschutzkonform ist? Wir unterstützen Sie gerne mit einer unverbindlichen Einschätzung und zeigen Ihnen praxisnahe Lösungsansätze für Schweizer Unternehmen.

Kontakt

 

Weitere Beiträge