Datensicherheit und Backup bei der Zeiterfassung
Zeitdaten sind sensibel und wichtig – so schützen Sie sie vor Verlust und unbefugtem Zugriff.
Das Wichtigste in Kürze
- Zeiterfassungsdaten sind personenbezogen und schützenswert
- Backup-Strategie verhindert Datenverlust
- Verschlüsselung bei Übertragung und Speicherung
- Zugriffsrechte kontrollieren
- Cloud-Anbieter: Sicherheitsstandards prüfen
Warum Datensicherheit wichtig ist
Risiken
Was passieren kann:
| Risiko | Folge |
|---|---|
| Datenverlust | Keine Lohnabrechnung möglich |
| Unbefugter Zugriff | Datenschutzverstoß |
| Manipulation | Falsche Abrechnungen |
| Cyberangriff | Betriebsunterbrechung |
| Systemausfall | Keine Zeiterfassung möglich |
Schutzziele
Was erreicht werden soll:
- Vertraulichkeit – Nur Berechtigte sehen Daten
- Integrität – Daten nicht manipuliert
- Verfügbarkeit – System funktioniert
- Nachvollziehbarkeit – Wer hat was geändert
- Revisionssicherheit – Daten für Prüfungen
Sicher in der Cloud
MyTimeTracker: Deutsche Server, verschlüsselt, regelmäßige Backups.
- Sofort einsatzbereit
- DSGVO-konform
- Keine Einrichtung nötig
Backup-Strategien
Grundprinzipien
Was beachten:
| Prinzip | Bedeutung |
|---|---|
| 3-2-1-Regel | 3 Kopien, 2 Medien, 1 extern |
| Regelmäßigkeit | Täglich oder öfter |
| Automatisierung | Nicht auf Menschen verlassen |
| Verschlüsselung | Auch Backup schützen |
| Testen | Wiederherstellung prüfen |
Backup-Arten
Optionen:
- Vollbackup – Alle Daten komplett
- Inkrementell – Nur Änderungen seit letztem Backup
- Differentiell – Änderungen seit letztem Vollbackup
- Echtzeit-Replikation – Sofortige Spiegelung
- Snapshot – Momentaufnahme des Systems
Bei Cloud-Lösungen
Was der Anbieter macht:
| Aspekt | Prüfen |
|---|---|
| Backup-Frequenz | Wie oft? |
| Aufbewahrung | Wie lange? |
| Standort | Wo liegen Backups? |
| Wiederherstellung | Wie schnell möglich? |
| Kosten | Im Preis enthalten? |
Verschlüsselung
Wo verschlüsseln
Überall:
| Stelle | Methode |
|---|---|
| Übertragung | TLS/SSL (HTTPS) |
| Speicherung | AES-256 oder vergleichbar |
| Backup | Ebenfalls verschlüsselt |
| Mobile App | Lokale Verschlüsselung |
| Export | Passwortschutz möglich |
Standards
Was sicher ist:
- Transport – TLS 1.3 (mindestens 1.2)
- Speicherung – AES-256
- Hashing (Passwörter) – bcrypt, Argon2
- Schlüsselmanagement – Sichere Aufbewahrung
- Zertifikate – Gültig, vertrauenswürdig
Verschlüsselt gespeichert
MyTimeTracker verschlüsselt alle Daten – in Übertragung und Speicherung.
- Sofort einsatzbereit
- DSGVO-konform
- Keine Einrichtung nötig
Zugriffsschutz
Berechtigungskonzept
Wer darf was:
| Rolle | Typische Rechte |
|---|---|
| Mitarbeiter | Eigene Zeiten sehen/buchen |
| Teamleiter | Team sehen, genehmigen |
| HR | Alle sehen, auswerten |
| Admin | System konfigurieren |
| Lohnbuchhaltung | Export, Auswertung |
Technische Maßnahmen
Wie umsetzen:
- Authentifizierung – Passwort, 2FA
- Autorisierung – Rollenbasiert (RBAC)
- Audit-Log – Wer hat was getan
- Session-Management – Automatische Abmeldung
- IP-Beschränkung – Bei Bedarf
Cloud vs. On-Premise
Sicherheitsvergleich
Unterschiede:
| Aspekt | Cloud | On-Premise |
|---|---|---|
| Physische Sicherheit | Profi-Rechenzentrum | Eigene Räume |
| Updates | Automatisch | Selbst verantwortlich |
| Backup | Meist inklusive | Selbst einrichten |
| Expertise | Beim Anbieter | Intern nötig |
| Kontrolle | Weniger | Mehr |
Cloud-Anbieter prüfen
Checkliste:
- Zertifizierungen – ISO 27001, SOC 2
- Serverstandort – Deutschland/EU
- Datenschutzvertrag – AVV vorhanden
- SLA – Verfügbarkeitsgarantie
- Notfallplan – Was bei Ausfall
- Audit-Recht – Können Sie prüfen?
Notfallvorsorge
Was vorbereiten
Für den Ernstfall:
| Szenario | Vorbereitung |
|---|---|
| Systemausfall | Fallback-Prozess (Papier) |
| Datenverlust | Backup-Wiederherstellung testen |
| Cyberangriff | Incident-Response-Plan |
| Anbieterwechsel | Datenexport möglich? |
Notfallplan
Dokumentieren:
- Kontakte – Anbieter-Support, intern
- Fallback – Wie erfassen ohne System
- Wiederherstellung – Schritt für Schritt
- Kommunikation – Wer informiert wen
- Nachbereitung – Daten nachtragen
Aufbewahrung und Löschung
Aufbewahrungsfristen
Was wie lange:
| Datenart | Frist |
|---|---|
| Arbeitszeitnachweise (ArbZG) | 2 Jahre |
| Lohnrelevante Daten | 6 Jahre |
| Buchungsbelege | 10 Jahre |
| Projektdaten | Projektabhängig |
Löschkonzept
DSGVO-konform:
- Automatische Löschung – Nach Fristablauf
- Auf Anfrage – Recht auf Löschung
- Dokumentation – Was wurde wann gelöscht
- Backup-Berücksichtigung – Auch dort löschen
- Ausnahmen – Aufbewahrungspflichten
Häufige Fragen
Mindestens täglich. Bei kritischen Systemen auch häufiger (inkrementell). Cloud-Anbieter machen oft kontinuierliche Backups oder Point-in-Time-Recovery. Bei On-Premise-Systemen: Automatisierung einrichten, mindestens 1x täglich nachts. Backup-Erfolg prüfen und regelmäßig Wiederherstellung testen.
Professionelle Cloud-Anbieter sind oft sicherer als lokale Lösungen, weil sie spezialisiert sind und Sicherheitsstandards einhalten. Achten Sie auf: ISO-Zertifizierungen, Serverstandort (EU/Deutschland), AVV-Vertrag, Verschlüsselung. Nicht jeder Cloud-Anbieter ist gleich – prüfen Sie genau.
Sofort: Backup wiederherstellen (daher regelmäßig testen!). Wenn Daten fehlen: Mitarbeiter bitten, Zeiten aus dem Gedächtnis zu rekonstruieren. E-Mails, Kalender können helfen. Dokumentieren, was verloren ging. Für die Zukunft: Backup-Strategie verbessern.
Nach ArbZG: 2 Jahre für Arbeitszeitnachweise (Überstunden über 8h). Nach Handelsrecht: 6 Jahre für lohnrelevante Daten, 10 Jahre für Buchungsbelege. Im Zweifel: 10 Jahre aufbewahren. Danach: Löschen (DSGVO). Bei laufenden Rechtsstreitigkeiten: Aufbewahren bis Abschluss.
Empfohlen, aber nicht gesetzlich vorgeschrieben. Für Admins und HR mit weitreichenden Zugriffsrechten: sehr empfohlen. Für normale Mitarbeiter: Abwägung zwischen Sicherheit und Komfort. Bei sensiblen Daten oder hohem Schutzbedarf: ja. 2FA erhöht die Sicherheit erheblich.
Fazit
Zeiterfassungsdaten sind personenbezogen und für den Betrieb wichtig – Datensicherheit verdient Aufmerksamkeit. Backup-Strategie nach 3-2-1-Regel, Verschlüsselung bei Übertragung und Speicherung, Zugriffsrechte nach Bedarf. Cloud-Anbieter auf Sicherheitsstandards prüfen (ISO 27001, Serverstandort, AVV). Notfallplan vorbereiten und testen. Aufbewahrungsfristen beachten, danach löschen.
Zeiterfassung starten
14 Tage kostenlos testen