Zeiterfassung Datensicherheit: Schutz sensibler Daten
Arbeitszeitdaten sind personenbezogene Daten. Sie verraten, wann jemand wo gearbeitet hat – sensible Informationen, die geschützt werden müssen. Datensicherheit ist kein optionales Feature.
Das Wichtigste in Kürze
- Arbeitszeitdaten sind personenbezogen und sensibel
- DSGVO stellt klare Anforderungen
- Verschlüsselung bei Übertragung und Speicherung
- Zugriffskontrollen und Berechtigungen
- Regelmäßige Backups und Audit-Logs
- Serverstandort in der EU wichtig
Warum Datensicherheit wichtig ist
Sensibilität von Zeitdaten
Was Zeitdaten verraten:
| Information | Risiko bei Missbrauch |
|---|---|
| Arbeitszeiten | Verhaltensprofile |
| Standortdaten | Bewegungsprofile |
| Überstunden | Leistungsbewertung |
| Krankheitstage | Gesundheitsinformationen |
| Projektzeiten | Kundeninformationen |
Bedrohungen
Mögliche Risiken:
- Externe Angriffe – Hacker
- Ransomware
- Phishing
- Interne Risiken – Unbefugter Zugriff
- Datenmissbrauch
- Fehlerhafte Weitergabe
- Technische Risiken – Datenverlust
- Systemausfall
- Backup-Versagen
- Organisatorische Risiken – Fehlende Richtlinien
- Mangelnde Schulung
Rechtliche Konsequenzen
Bei Datenschutzverletzungen:
| Verstoß | Mögliche Folge |
|---|---|
| DSGVO-Verletzung | Bußgeld bis 20 Mio € / 4% Umsatz |
| Datenpanne | Meldepflicht, Imageschaden |
| Unbefugter Zugriff | Schadensersatz |
| Fehlende Dokumentation | Bußgeld |
Sicher in der Cloud
MyTimeTracker: Deutsche Server, verschlüsselt, DSGVO-konform.
- Sofort einsatzbereit
- DSGVO-konform
- Keine Einrichtung nötig
Technische Sicherheitsmaßnahmen
Verschlüsselung
Daten schützen:
| Art | Beschreibung |
|---|---|
| Transport (TLS) | Daten auf dem Weg verschlüsselt |
| Speicherung (AES) | Daten auf Server verschlüsselt |
| Ende-zu-Ende | Nur Nutzer kann entschlüsseln |
Verschlüsselungsstandards
Was aktuell ist:
- Transport – TLS 1.3 (aktuell)
- TLS 1.2 (noch ok)
- TLS 1.1/1.0 (veraltet!)
- Speicherung – AES-256 (Standard)
- RSA-2048+ (asymmetrisch)
- Passwörter – bcrypt
- Argon2
- PBKDF2
Zugriffskontrollen
Wer darf was:
| Rolle | Zugriff |
|---|---|
| Mitarbeiter | Eigene Zeiten |
| Teamleiter | Team-Übersicht |
| HR | Alle Mitarbeiter |
| Admin | Systemeinstellungen |
| Steuerberater | Export (begrenzt) |
Authentifizierung
Sichere Anmeldung:
- Passwort – Mindestanforderungen
- Regelmäßiger Wechsel optional
- Zwei-Faktor (2FA) – SMS (weniger sicher)
- Authenticator-App (empfohlen)
- Hardware-Token (sehr sicher)
- Single Sign-On (SSO) – Mit Unternehmens-IdP
- Microsoft, Google, etc.
- Biometrie – Fingerabdruck, Face ID
Organisatorische Maßnahmen
Berechtigungskonzept
Systematisch planen:
| Schritt | Beschreibung |
|---|---|
| Rollen definieren | Wer braucht welchen Zugriff? |
| Minimalprinzip | Nur nötigen Zugriff geben |
| Dokumentieren | Wer hat was warum |
| Prüfen | Regelmäßig überprüfen |
| Entziehen | Bei Ausscheiden/Wechsel |
Schulung
Mitarbeiter sensibilisieren:
- Passwort-Sicherheit – Starke Passwörter
- Keine Weitergabe
- Phishing erkennen – Verdächtige E-Mails
- Fake-Login-Seiten
- Umgang mit Daten – Kein Screenshot von Zeitdaten
- Keine Weitergabe per Chat
- Meldewege – Vorfälle melden an wen?
Richtlinien
Was dokumentieren:
| Richtlinie | Inhalt |
|---|---|
| Zugriffsrichtlinie | Wer darf was |
| Passwortrichtlinie | Anforderungen |
| Datenschutzrichtlinie | Umgang mit Daten |
| Vorfallsrichtlinie | Reaktion auf Probleme |
Klare Berechtigungen
MyTimeTracker bietet feingranulare Rechteverwaltung – jeder sieht nur, was er soll.
- Sofort einsatzbereit
- DSGVO-konform
- Keine Einrichtung nötig
DSGVO-Konformität
Grundanforderungen
Was die DSGVO verlangt:
| Anforderung | Umsetzung |
|---|---|
| Rechtmäßigkeit | Rechtsgrundlage für Verarbeitung |
| Zweckbindung | Nur für definierten Zweck |
| Datenminimierung | Nur nötige Daten |
| Richtigkeit | Korrekturmöglichkeit |
| Speicherbegrenzung | Löschkonzept |
| Integrität | Technische Sicherheit |
Rechtsgrundlage
Wann Zeiterfassung erlaubt:
- Art. 6 (1) b DSGVO – Vertragsdurchführung (Arbeitsvertrag)
- Art. 6 (1) c DSGVO – Rechtliche Pflicht (ArbZG)
- Art. 6 (1) f DSGVO – Berechtigtes Interesse
- Einwilligung – Bei zusätzlichen Daten (GPS, etc.)
Dokumentation
Was dokumentieren:
| Dokument | Inhalt |
|---|---|
| Verarbeitungsverzeichnis | Was wird verarbeitet? |
| Datenschutz-Folgenabschätzung | Bei hohem Risiko |
| Auftragsverarbeitung | Mit Cloud-Anbieter |
| Löschkonzept | Wann wird gelöscht? |
Betroffenenrechte
Mitarbeiter haben Recht auf:
- Auskunft über gespeicherte Daten
- Berichtigung falscher Daten
- Löschung nach Aufbewahrungsfrist
- Einschränkung der Verarbeitung
- Datenübertragbarkeit
Cloud vs. On-Premise
Sicherheitsvergleich
| Aspekt | Cloud | On-Premise |
|---|---|---|
| Infrastruktur-Sicherheit | Anbieter (meist gut) | Selbst verantwortlich |
| Updates | Automatisch | Selbst durchführen |
| Backup | Meist inklusive | Selbst einrichten |
| Zugriffsschutz | Anbieter + Kunde | Nur Kunde |
| Kontrolle | Weniger | Mehr |
| Aufwand | Geringer | Höher |
Cloud-Anbieter prüfen
Worauf achten:
- Serverstandort – EU → DSGVO-konform
- Deutschland → Optimal
- Zertifizierungen – ISO 27001
- SOC 2
- AV-Vertrag – Auftragsverarbeitung
- Subunternehmer – Wer verarbeitet noch?
- Backup – Wie, wo, wie oft?
- Exit-Strategie – Daten-Export möglich?
Backup und Wiederherstellung
Backup-Strategie
Daten sichern:
| Aspekt | Empfehlung |
|---|---|
| Häufigkeit | Täglich |
| Aufbewahrung | Mindestens 30 Tage |
| Standort | Geografisch getrennt |
| Verschlüsselung | Backups auch verschlüsseln |
| Test | Regelmäßig Restore testen |
Disaster Recovery
Bei Totalausfall:
- RTO (Recovery Time Objective) – Wie schnell wieder online?
- RPO (Recovery Point Objective) – Wie viel Datenverlust akzeptabel?
- Verantwortlichkeiten – Wer macht was?
- Kommunikation – Wer informiert wen?
- Test – Regelmäßig üben
Audit und Überwachung
Audit-Logs
Was protokollieren:
| Ereignis | Protokollieren |
|---|---|
| Login/Logout | Wer, wann, wo |
| Datenänderung | Was wurde geändert |
| Datenexport | Wer hat exportiert |
| Admin-Aktionen | Alle |
| Fehler | Fehlgeschlagene Logins |
Monitoring
Überwachen:
- Ungewöhnliche Zugriffe
- Massen-Downloads
- Zugriffe außerhalb Bürozeiten
- Fehlgeschlagene Logins
- Performance-Anomalien
Häufige Fragen
Fazit
Datensicherheit bei der Zeiterfassung ist kein Luxus, sondern Pflicht. Arbeitszeitdaten sind personenbezogen und verdienen Schutz – durch Verschlüsselung, Zugriffskontrollen, Backups und klare Richtlinien. Bei Cloud-Lösungen entscheidet die Wahl des Anbieters: EU-Server, Zertifizierungen und ein solider AV-Vertrag sind Mindestanforderungen. Investieren Sie in Sicherheit – Ihre Mitarbeiter und die Aufsichtsbehörden werden es Ihnen danken.
Zeiterfassung starten
14 Tage kostenlos testen