Arbeitszeiterfassung gehört in der Schweiz zum Arbeitsalltag vieler Unternehmen. Sie ist in den meisten Fällen gesetzlich vorgeschrieben und bildet zugleich die Grundlage für eine datenschutzrechtlich zulässige Bearbeitung von Arbeitszeitdaten. Gleichzeitig werden dabei personenbezogene Daten von Mitarbeitenden verarbeitet. Genau hier setzt der Datenschutz an.
Viele Unternehmen sind unsicher, welche Anforderungen in der Schweiz gelten, wie streng diese sind und was in der Praxis wirklich umgesetzt werden muss. Dieser Beitrag erklärt verständlich, welche Datenschutzvorgaben bei der Arbeitszeiterfassung relevant sind, welche Rechte Mitarbeitende haben und wie Unternehmen Datenschutz pragmatisch und rechtskonform umsetzen können.
Arbeitszeiterfassung erfasst personenbezogene Daten. Dazu gehören:
Arbeitszeiten
Pausenzeiten
Arbeitsorte
Projektbezogene Tätigkeiten
Eventuell biometrische Daten (z.B. Fingerabdruck, Gesichtserkennung)
Standortdaten bei mobilen Mitarbeitenden
Diese Daten können sehr sensible Informationen enthalten. Sie geben Auskunft darüber, wann Mitarbeitende wo gearbeitet haben. Werden solche Daten nicht geschützt, ergeben sich Risiken wie:
Einsicht durch Unbefugte
Missbrauch zur Kontrolle statt zur Abrechnung
Verletzung von Persönlichkeitsrechten
Rechtliche Konsequenzen für das Unternehmen
Datenschutz dient dem Schutz der Privatsphäre der Mitarbeitenden, aber auch der Rechtssicherheit des Unternehmens. Ein korrekt implementiertes System schafft Vertrauen, fördert die Akzeptanz und minimiert Risiken.
In der Schweiz ist das zentrale Gesetz zum Datenschutz das Datenschutzgesetz DSG. Es wurde im September 2023 umfassend revidiert und trat weitgehend 2024 in Kraft. Parallel gilt das Datenschutzrecht in Spezialgesetzen wie etwa im Arbeitsrecht, in branchenspezifischen Bestimmungen oder im Sozialversicherungsrecht.
Wichtig ist auch die Verordnung zum Datenschutzgesetz (VDSG), die Details zur Umsetzung enthält. Gemeinsam definieren diese Regelwerke, wie personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen.
Ein weiterer zentraler Punkt: Auch wenn die Schweiz nicht zur EU gehört, orientiert sich das schweizerische Datenschutzrecht stark an der EU Datenschutzgrundverordnung (DSGVO). Für Unternehmen, die Daten von EU Personen verarbeiten, gelten zusätzlich die EU Regeln.
Das DSG unterscheidet zwischen:
Personenbezogene Daten
Alle Angaben, die sich auf eine identifizierte oder identifizierbare Person beziehen.
Beispiele: Name, Personalnummer, E Mail Adresse, Arbeitszeiten
Besondere personenbezogene Daten
Daten, die besonders sensibel sind, z. B.:
Gesundheitsdaten
Biometrische Daten, wenn sie zur Identifikation dienen
Standortdaten mit hoher Aussagekraft
Arbeitszeiterfassungsdaten zählen grundsätzlich zu den personenbezogenen Daten. Wenn etwa biometrische Identifikationsverfahren zum Einsatz kommen, werden Teile dieser Daten zu besonderen personenbezogenen Daten und unterliegen noch strengeren Regeln.
Damit ein Unternehmen Arbeitszeiten rechtskonform erfassen darf, braucht es eine Rechtsgrundlage. Das kann sein:
Die Erhebung ist notwendig zur Erfüllung des Arbeitsvertrags. Zum Beispiel um Lohn korrekt zu berechnen.
Gesetze verlangen in der Schweiz die Erfassung bestimmter Arbeitszeitdaten. Diese gesetzliche Pflicht bildet zugleich eine zentrale Rechtsgrundlage im Sinne des Datenschutzgesetzes (DSG) für die Bearbeitung von Arbeitszeitdaten.
In manchen Fällen kann eine freiwillige Einwilligung der Mitarbeitenden eingeholt werden. Das ist aber nur zulässig, wenn keine andere Rechtsgrundlage besteht und die Mitarbeitenden wirklich frei entscheiden können.
In der Praxis stützen sich die meisten Arbeitszeiterfassungslösungen auf vertragliche oder gesetzliche Grundlagen und nicht auf freiwillige Einwilligungen. Das ist stabiler und weniger risikobehaftet.
Das DSG schreibt einige grundlegende Prinzipien vor, die auch bei der Arbeitszeiterfassung gelten:
Nur Daten, die wirklich gebraucht werden, dürfen erfasst werden. Sammeln aus „Bequemlichkeit“ ist nicht erlaubt.
Die Mitarbeitenden müssen wissen:
welche Daten erfasst werden
zu welchem Zweck
wie lange sie gespeichert werden
wer Zugang dazu hat
Die gesetzliche Pflicht zur Arbeitszeiterfassung rechtfertigt die Datenerhebung, nicht jedoch eine darüber hinausgehende Leistungs oder Verhaltenskontrolle, sofern diese nicht transparent kommuniziert wurde.
Die Daten müssen sachlich richtig und auf dem aktuellen Stand sein.
Es müssen geeignete technische und organisatorische Massnahmen existieren, um Daten vor Verlust, Manipulation oder unbefugtem Zugriff zu schuetzen.
Welche Arbeitszeitdaten konkret erfasst werden müssen, ergibt sich aus arbeitsrechtlichen Vorgaben. Für den Datenschutz entscheidend ist, dass nur diese gesetzlich erforderlichen Daten verarbeitet und nicht zweckentfremdet werden.
Das bedeutet konkret:
Es sollten nur die Daten erfasst werden, die tatsächlich notwendig sind, z. B. Arbeitsbeginn, Arbeitsende und Pausen.
Falls projektbezogene Zeiten erfasst werden, ist der Zweck transparent zu kommunizieren.
Bei Standortdaten oder biometrischen Verfahren ist besondere Zurückhaltung geboten. Diese sind nur zulässig, wenn ein klarer, legitimer Zweck besteht und keine milderen Mittel zur Verfügung stehen.
Beispiele:
| Datenart | Erlaubt | Erklärung |
|---|---|---|
| Arbeitsbeginn Arbeitsende | Ja | Grundlage zur Lohnabrechnung |
| Pausenzeiten | Ja | Gesetzliche Vorgaben |
| Projektcodes | Ja | Wenn notwendig fuers Controlling |
| GPS Standortdaten | Nur in Ausnahmefällen | Wenn Mitarbeitende mobil sind und es einen legitimen Arbeitszweck gibt |
| Biometrische Identifikation | Nur mit sehr starkem Schutz | Nur wenn andere sichere Optionen nicht praktikabel sind |
Transparenz ist ein Kernpunkt des Datenschutzes. Mitarbeitende müssen informiert werden, bevor Daten erfasst werden. Eine Informationspflicht kann durch ein Datenschutzmerkblatt, eine Richtlinie zur Arbeitszeiterfassung oder im Arbeitsvertrag erfolgen.
Wichtige Inhalte der Information:
Welche Daten werden erfasst?
Zu welchem Zweck?
Wie lange werden Daten gespeichert?
Wer hat Zugriff?
Worin besteht der Nutzen fürs Unternehmen und die Mitarbeitenden?
Wo können Betroffene ihre Rechte geltend machen?
Diese Informationen sollten schriftlich zur Verfügung stehen und leicht zugänglich sein.
Das DSG gewährt Mitarbeitenden verschiedene Rechte
Mitarbeitende können verlangen, Auskunft darüber zu erhalten, welche Daten über sie gespeichert sind.
Sind Daten falsch oder unvollständig, können sie korrigiert werden.
Unter bestimmten Voraussetzungen können Mitarbeitende löschen lassen, was nicht mehr gebraucht wird.
In Ausnahmefällen können Mitarbeitende der Verarbeitung widersprechen.
Arbeitgeber müssen diese Rechte kennen und sicherstellen, dass Mitarbeitende sie ausüben können.
Datensicherheit ist kein leeres Wort. Datenschutz heisst auch Schutz vor Verlust und Missbrauch.
Verschlüsselung der Daten
Gesicherte Server
Rollenbasierte Zugriffe
Passwörter und Authentifizierung
Datenschutzrichtlinien
Zugriffsprotokolle
Regelmässige Backups
Schulungen der Mitarbeitenden
Beide Modelle sind möglich. Entscheidend ist, dass die Sicherheit stimmt. Bei Cloud Lösungen muss genau geklärt sein, wo die Server stehen und welche Datenschutzstandards gelten.
Immer mehr Unternehmen nutzen biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung für die Zeiterfassen. Das ist rechtlich sensibel.
Solche Daten gelten als besondere personenbezogene Daten. Ihre Erhebung ist nur erlaubt, wenn:
keine milderen Mittel zur Verfügung stehen
ein klarer legitimer Zweck besteht
höchster Datenschutzstandard eingehalten wird
In vielen Fällen reicht eine Chipkarte oder PIN. Dann bestehen weniger Risiken und Anforderungen.
Gerade bei aussenarbeitenden Teams oder im Service Bereich kommen oft Standortdaten ins Spiel. Hier gilt:
Standortdaten dürfen nur erfasst werden, wenn sie wirklich notwendig sind, z. B. zur Sicherheit der Mitarbeitenden oder zur Einsatzplanung
Mitarbeitende müssen transparent informiert werden
Es darf keine lückenlose Überwachung entstehen
Ein gutes Beispiel ist die reine Erfassung des Arbeitsortes bei Checkin und Checkout statt permanenter GPS Überwachung.
Ein gängiger Fehler ist es, Daten mehrfach zu verwenden ohne Information.
Beispiel:
Sie erfassen Arbeitszeiten zur Lohnabrechnung. Dann nutzen Sie dieselben Daten uneingeschränkt zur Leistungsbeurteilung ohne vorher darauf hinzuweisen.
Das verstösst gegen den Grundsatz der Zweckbindung. Soll eine Verwendung der Daten zu einem anderen Zweck erfolgen, muss dies vorgängig transparent kommuniziert und rechtlich geprüft werden.
Das Schweizer Arbeitsgesetz (ArG) schreibt vor, dass Arbeitszeitaufzeichnungen, einschliesslich Pausen, Überstunden und Ruhezeiten, mindestens fünf Jahre aufbewahrt werden müssen. Diese Unterlagen müssen bei Kontrollen durch die kantonale Arbeitsinspektion vorgelegt werden können.
Arbeitszeitdaten unterliegen gesetzlichen Aufbewahrungspflichten. Aus datenschutzrechtlicher Sicht gilt zusätzlich, dass Daten nicht länger gespeichert werden dürfen, als es der gesetzliche Zweck erfordert, und anschliessend zu löschen sind.
Beispiel:Lohnabrechnungsdaten können bis zu zehn Jahre relevant sein, etwa für steuerliche oder sozialversicherungsrechtliche Nachweise.
Reine Anwesenheits und Arbeitszeitdaten werden häufig nach zwei bis fünf Jahren gelöscht, sofern keine weiteren gesetzlichen oder vertraglichen Gründe für eine längere Aufbewahrung bestehen.
Eine klare Aufbewahrungsrichtlinie hilft, Transparenz zu schaffen und Speicherchaos zu vermeiden.
Trotz aller Massnahmen kann es zu einem Vorfall kommen. Dann gilt in der Schweiz:
Den Vorfall intern untersuchen
Betroffene informieren, wenn ein hohes Risiko besteht
Eventuell Meldung an den Datenschutzbeauftragten machen
Ein vorbereitetes Notfallkonzept reduziert Reaktionszeiten und minimiert Schaden.
Nicht jedes Unternehmen muss zwingend einen Datenschutzbeauftragten haben. Aber:
Bei systematischen Auswertungen
Bei umfangreicher Datenverarbeitung
Bei sensiblen Daten
ist es sehr sinnvoll, eine verantwortliche Person zu bestimmen.
Das kann ein interner Mitarbeitender sein oder ein externer Dienstleister sein.