DSGVO- und GoBD-konforme Zeiterfassung. Was Pflicht ist. Was nur Marketing.
„DSGVO-konform" steht auf jedem Anbieter-Slide. Was bedeutet das wirklich? Wann brauche ich einen Auftragsverarbeitungsvertrag, was ist ein revisionssicherer Audit-Trail, muss meine Zeiterfassung in Deutschland gehostet werden? Hier die Antworten — ohne Juristen-Floskeln.
- Art. 28 DSGVO · AVV
- GoBD · Audit-Trail
- Hosting in Deutschland
Datenschutz und Revisionssicherheit auf einen Blick
Eine Cloud-Zeiterfassung muss zwei Regelwerke gleichzeitig erfüllen: DSGVO für den Schutz personenbezogener Mitarbeiterdaten und GoBD für die Revisionssicherheit lohnsteuerlicher Aufzeichnungen. Konkret heißt das: Auftragsverarbeitungsvertrag (Art. 28 DSGVO) ist Pflicht; ein revisionssicherer Audit-Trail dokumentiert jede Änderung mit Wer/Was/Wann/Warum; Datensparsamkeit (Art. 5 DSGVO) verlangt: nicht mehr erfassen als nötig; Mitarbeitende haben Auskunfts- und Berichtigungsrechte. Hosting in Deutschland ist gesetzlich nicht zwingend, in der Praxis aber oft Vertragsanforderung — und Souveränitätsfrage. Bei Verstößen drohen DSGVO-Bußgelder bis 20 Mio. € oder 4 % des Konzernumsatzes (Art. 83 DSGVO).
- AVV
- Pflicht (Art. 28 DSGVO)
- Audit-Trail
- Wer/Was/Wann/Warum
- Hosting
- EU Pflicht · DE oft Anforderung
- Aufbewahrung
- 2+ Jahre · verschlüsselt
- DSGVO-Bußgeld
- bis 20 Mio. € / 4 % Umsatz
1. DSGVO-Pflichten für Arbeitgeber. Sechs Bausteine.
1.1 Rechtsgrundlage der Verarbeitung
Zeiterfassung ist personenbezogene Datenverarbeitung. Sie braucht eine Rechtsgrundlage nach Art. 6 DSGVO. Bei Mitarbeiterdaten ist das in der Regel:
- Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Arbeitsvertrags) für Lohnabrechnungs-relevante Zeiten
- Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für ArbZG-konforme Erfassung — der BAG-Beschluss verpflichtet ja zur Erfassung
- § 26 BDSG als ergänzende Norm für das Beschäftigtenverhältnis
Was Sie nicht brauchen: Einwilligung. Im Beschäftigtenverhältnis gilt Einwilligung als nicht freiwillig — das funktioniert juristisch nicht.
1.2 Auftragsverarbeitungsvertrag (AVV)
Sobald ein externer Anbieter Ihre Mitarbeiterdaten verarbeitet (was bei jeder Cloud-Zeiterfassung der Fall ist), muss nach Art. 28 Abs. 3 DSGVO ein schriftlicher Auftragsverarbeitungsvertrag abgeschlossen werden. Ohne AVV ist die Verarbeitung rechtswidrig — verantwortlich bleibt der Arbeitgeber, nicht der Anbieter.
Der AVV regelt unter anderem:
- Gegenstand und Dauer der Verarbeitung
- Art und Zweck der Verarbeitung
- Kategorien betroffener Personen
- Technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO
- Subunternehmer (Sub-Auftragsverarbeiter)
- Datenrückgabe und -löschung am Vertragsende
Bei zeitWerk365 ist der AVV inkl. TOM-Liste im Vertragspaket enthalten. Sie unterschreiben einmal — fertig.
1.3 Datenminimierung und Zweckbindung
Art. 5 Abs. 1 lit. c DSGVO: erhoben werden dürfen nur Daten, die für den Zweck (hier: Zeiterfassung und Lohnabrechnung) erforderlich sind. Konkret:
- Stempelzeiten ja, GPS-Standort der Stempelung in der Regel nein
- Mitarbeiternummer ja, biometrische Daten nur unter strengen Voraussetzungen
- Krankheitsdiagnose nein, Abwesenheits-Code „krank" ja
Bei der Auswahl eines Anbieters lohnt der Test: was wird erfasst, das nicht erforderlich ist? Ein „nice to have" ist DSGVO-rechtlich nicht „erforderlich".
1.4 Rechte der Betroffenen
Mitarbeitende haben gegenüber dem Arbeitgeber Rechte aus den Artikeln 15–21 DSGVO:
- Art. 15 — Auskunftsrecht: welche Daten werden über mich verarbeitet?
- Art. 16 — Berichtigungsrecht: falsche Daten korrigieren lassen
- Art. 17 — Löschungsrecht (eingeschränkt durch ArbZG-Aufbewahrung und Lohnsteuer-Fristen)
- Art. 18 — Einschränkung der Verarbeitung
- Art. 20 — Datenübertragbarkeit (in maschinenlesbarem Format)
- Art. 21 — Widerspruchsrecht
Praktisch: das Selbstservice-Portal der Zeiterfassung erfüllt Art. 15 weitgehend automatisch — Mitarbeitende sehen ihre eigenen Daten in Echtzeit. Korrektur-Anträge (Art. 16) müssen über den Admin laufen, mit Audit-Trail-Eintrag.
1.5 Technische und organisatorische Maßnahmen (Art. 32 DSGVO)
„Geeignete TOM" ist DSGVO-Sprech für: Sicherheit der Verarbeitung. Konkret bei einer Zeiterfassung:
- Verschlüsselung der Daten in Übertragung (TLS) und im Ruhezustand (at-rest encryption)
- Zugriffskonzept (Rollen: Admin, Schichtleiter, Mitarbeiter)
- Backup und Wiederherstellung
- Mandantentrennung (Ihre Daten von anderen Kunden getrennt)
- Pseudonymisierung wo möglich
- Verfahren zur regelmäßigen Überprüfung
Der TOM-Katalog gehört in den AVV. Bei der Anbieter-Auswahl ist die TOM-Liste ein wichtiger Prüfstein.
1.6 Datenschutzfolgenabschätzung (DSFA)
Eine DSFA nach Art. 35 DSGVO ist nur bei voraussichtlich hohen Risiken erforderlich. Bei klassischer Arbeitszeiterfassung normalerweise nicht. Anders bei:
- Biometrischer Stempelung (Fingerabdruck, Gesichtserkennung)
- GPS-Tracking mobiler Mitarbeiter
- Verbindung mit Verhaltens- oder Leistungsüberwachung
zeitWerk365 nutzt RFID (kein biometrisches Merkmal, sondern ein einfacher Schlüssel) — keine DSFA nötig.
2. GoBD-Anforderungen. Vier Grundsätze, die zählen.
Die GoBD sind die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff" — ein BMF-Schreiben, das für lohnsteuerlich relevante Aufzeichnungen verbindlich ist. Für Zeiterfassung sind vier Punkte besonders wichtig:
2.1 Vollständigkeit
Alle erfassungspflichtigen Daten müssen erfasst sein — keine „erinnert mich später"-Lücken. Eine Zeiterfassung muss erkennen, wenn eine Schicht ohne Stempelung endet, und zur Klärung anstoßen.
2.2 Unveränderbarkeit (Immutability)
Einmal gebuchte Daten dürfen nicht spurlos verändert werden. Das ist der harte Bruch mit Excel: dort kann jeder mit Schreibrechten alles ändern. GoBD verlangt: Original bleibt erhalten, Korrekturen werden zusätzlich protokolliert. Nicht überschrieben, sondern angefügt.
2.3 Nachvollziehbarkeit / Audit-Trail
Ein revisionssicherer Audit-Trail dokumentiert jede Änderung mit fünf Informationen:
- Wer hat geändert (Mitarbeiter-ID, nicht „System")
- Was wurde geändert (Vorher-Wert und Nachher-Wert)
- Wann (Zeitstempel, Server-Zeit)
- Warum (Begründung — bei Admin-Korrekturen Pflichtfeld)
- Wie (über welchen Weg: Stechuhr, Webportal, Admin-UI, API)
Bei einer Lohnsteuer-Außenprüfung will der Prüfer genau das sehen können. Wer es nicht hat, hat ein Problem.
2.4 Aufbewahrungsfristen
Für Zeiterfassungs-Daten gelten überlappende Fristen:
- § 16 ArbZG: mindestens 2 Jahre
- § 147 AO: 6 Jahre für lohnsteuerlich relevante Aufzeichnungen (Sa/So/Feiertag/Nacht-Zuschläge!)
- § 28f SGB IV: 4 Jahre für sozialversicherungsrelevante Belege
In der Praxis: archivieren Sie 6 Jahre, dann sind Sie für alles sicher. zeitWerk365 archiviert ab Werk 24+ Monate online und erlaubt Langzeit-Archivierung mit verschlüsselten Backups.
3. Hosting-Standort. Pflicht oder Wahl?
Gesetzlich: die DSGVO erlaubt Verarbeitung in der EU sowie in Drittländern mit Angemessenheitsbeschluss (z. B. UK, Schweiz) oder Standardvertragsklauseln (z. B. USA mit DPF). DE-Hosting ist also nicht zwingend.
Praktisch: für viele Kunden im Mittelstand ist DE-Hosting Vertragsanforderung — manchmal explizit (kritische Infrastruktur, Behörden), manchmal als Risikomanagement-Frage (Souveränität, US-Cloud Act, etc.). Die Frage zu klären lohnt vor Anbieterwahl.
zeitWerk365 hostet ausschließlich in deutschen ISO-zertifizierten Rechenzentren. Wer DE-Hosting nicht braucht, zahlt nichts dafür extra — wer es braucht, hat es ab Werk.
„Wer eine Cloud-Zeiterfassung ohne unterschriebenen AVV einsetzt, betreibt unzulässige Auftragsverarbeitung. Die Bußgelder fallen beim Arbeitgeber an, nicht beim Anbieter."
4. Konsequenzen bei Verstoß
DSGVO-Bußgelder
Art. 83 DSGVO sieht zwei Stufen vor:
- Bis 10 Mio. € oder 2 % des weltweiten Konzernumsatzes (z. B. fehlender AVV, mangelhafte TOM)
- Bis 20 Mio. € oder 4 % (Verletzung der Grundsätze, Rechte der Betroffenen)
Maßgeblich ist der höhere der beiden Werte. Für KMU ist das in der Regel der Festbetrag. Die deutschen Aufsichtsbehörden setzen das relativ pragmatisch um — aber Verstöße sind teuer.
GoBD-Konsequenzen
Bei nicht-revisionssicheren Aufzeichnungen drohen:
- Schätzungsbescheid des Finanzamts (wenn Aufzeichnungen nicht ordnungsgemäß)
- Steuerstrafrechtliche Folgen bei vorsätzlicher Manipulation
- Beweislast-Probleme bei Streit mit Mitarbeitenden
5. Worauf bei der Anbieter-Auswahl achten?
Acht Fragen, die Sie jedem Anbieter stellen sollten:
- Bekomme ich einen AVV nach Art. 28 DSGVO im Vertragspaket — und steht eine TOM-Liste drin?
- Wo werden meine Daten gehostet (Rechenzentrum, Land, Zertifizierungen)?
- Welche Subunternehmer sind beteiligt (Mail-Versand, Backups, Support-Tools)?
- Wie sieht der Audit-Trail aus — gibt's Beispiel-Reports?
- Wie lange werden Daten gespeichert, was passiert bei Kündigung?
- Gibt es ein Selbstservice-Portal für Mitarbeiter (Auskunftsrecht)?
- Ist ein Datenschutzbeauftragter benannt — und wie ist er erreichbar?
- Gibt es eine Sub-Auftragsverarbeiter-Liste, die jederzeit aktuell ist?
Wer auf eine dieser Fragen keine klare Antwort hat, hat irgendwo eine Lücke. Bei zeitWerk365 stehen die Antworten zu allen acht Punkten in der Datenschutzerklärung und im AVV-Vertragsanhang.
Weiterführende Quellen
- DSGVO Art. 28 — Auftragsverarbeitung
- DSGVO Art. 32 — Sicherheit der Verarbeitung
- DSGVO Art. 83 — Bußgelder
- GoBD-Schreiben des Bundesfinanzministeriums
- Ratgeber: Zeiterfassungspflicht 2026
- Ratgeber: ArbZG-konforme Zeiterfassung
Hinweis: Dieser Ratgeber gibt den Stand vom 7. Mai 2026 wieder und ersetzt keine individuelle Rechtsberatung. Bei konkreten Fragen wenden Sie sich an Ihren Datenschutzbeauftragten oder einen Fachanwalt für IT-/Arbeitsrecht.
AVV inklusive. Audit-Trail eingebaut. DE-Hosting.
zeitWerk365 liefert den Auftragsverarbeitungsvertrag im Vertragspaket, dokumentiert jede Änderung revisionssicher und hostet ausschließlich in deutschen ISO-zertifizierten Rechenzentren — kein Konfigurations-Aufwand auf Ihrer Seite.
FRAGEN. Antworten. Ohne Datenschutz-Floskeln.
-
! Ja, zwingend. Sobald ein externer Anbieter personenbezogene Mitarbeiterdaten verarbeitet (was bei jeder Cloud-Zeiterfassung der Fall ist), muss nach Art. 28 Abs. 3 DSGVO ein schriftlicher Auftragsverarbeitungsvertrag abgeschlossen werden. Ohne AVV ist die Verarbeitung rechtswidrig — verantwortlich bleibt der Arbeitgeber, nicht der Anbieter. Bei zeitWerk365 ist der AVV im Vertragspaket enthalten.
-
! DSGVO regelt den Schutz personenbezogener Daten (Mitarbeiterdaten). GoBD regelt die ordnungsmäßige Buchführung in elektronischer Form (Vollständigkeit, Unveränderbarkeit, Nachvollziehbarkeit). Eine Zeiterfassung muss beides erfüllen: DSGVO für die Mitarbeiterdaten, GoBD für die Aufzeichnungen, soweit sie lohnsteuerlich relevant sind. Ein revisionssicherer Audit-Trail erfüllt beide Anforderungen gleichzeitig.
-
! Nein, gesetzlich nicht. Die DSGVO erlaubt Verarbeitung in der EU bzw. in Drittländern mit Angemessenheitsbeschluss oder Standardvertragsklauseln. Praktisch fordern viele Mittelstands- und Mittelstands-nahe Kunden (Behörden, kritische Infrastruktur, Lieferantenanforderungen) explizit DE-Hosting — als Sicherheits- und Souveränitätsfrage. zeitWerk365 hostet ausschließlich in deutschen ISO-zertifizierten Rechenzentren.
-
! Ein revisionssicherer Audit-Trail dokumentiert jede Änderung an einer Zeitbuchung mit fünf Informationen: Wer hat geändert, Was wurde geändert (Vorher-Nachher), Wann (Zeitstempel), Warum (Begründung) und über welchen Weg (z. B. Stechuhr, Webportal, Admin-Korrektur). Wichtig: der Original-Eintrag bleibt erhalten, die Änderung wird zusätzlich protokolliert — nicht überschrieben. Das ist GoBD-Anforderung und in zeitWerk365 ab Werk umgesetzt.
-
! Mitarbeitende haben nach DSGVO Auskunftsrecht (Art. 15), Berichtigungsrecht (Art. 16), Recht auf Löschung (Art. 17 — eingeschränkt durch ArbZG-Aufbewahrung), Recht auf Datenübertragbarkeit (Art. 20) und Widerspruchsrecht (Art. 21). Dazu kommt das EuGH-Recht auf „zugängliche" Erfassung (C-55/18) — sprich: Mitarbeitende müssen Einsicht in ihre eigenen Zeitdaten haben, in der Regel über ein Selbstservice-Portal.
-
! In der Regel nicht zwingend. Eine DSFA nach Art. 35 DSGVO ist nur bei voraussichtlich hohen Risiken für Rechte und Freiheiten der Betroffenen erforderlich — bei klassischer Arbeitszeiterfassung ist das normalerweise nicht der Fall. Anders bei Verbindung mit Verhaltens- oder Leistungsüberwachung, biometrischer Erkennung oder GPS-Tracking: dann kann eine DSFA Pflicht werden. Im Zweifel mit Datenschutzbeauftragtem klären.