Zeiterfassung Datensicherheit: Schutz sensibler Daten
Arbeitszeitdaten sind personenbezogene Daten. Sie verraten, wann jemand wo gearbeitet hat – sensible Informationen, die geschützt werden müssen. Datensicherheit ist kein optionales Feature.
Das Wichtigste in Kürze
- Arbeitszeitdaten sind personenbezogen und sensibel
- DSGVO stellt klare Anforderungen
- Verschlüsselung bei Übertragung und Speicherung
- Zugriffskontrollen und Berechtigungen
- Regelmäßige Backups und Audit-Logs
- Serverstandort in der EU wichtig
Warum Datensicherheit wichtig ist
Sensibilität von Zeitdaten
Was Zeitdaten verraten:
| Information | Risiko bei Missbrauch |
|---|---|
| Arbeitszeiten | Verhaltensprofile |
| Standortdaten | Bewegungsprofile |
| Überstunden | Leistungsbewertung |
| Krankheitstage | Gesundheitsinformationen |
| Projektzeiten | Kundeninformationen |
Bedrohungen
Mögliche Risiken:
- Externe Angriffe – Hacker
- Ransomware
- Phishing
- Interne Risiken – Unbefugter Zugriff
- Datenmissbrauch
- Fehlerhafte Weitergabe
- Technische Risiken – Datenverlust
- Systemausfall
- Backup-Versagen
- Organisatorische Risiken – Fehlende Richtlinien
- Mangelnde Schulung
Rechtliche Konsequenzen
Bei Datenschutzverletzungen:
| Verstoß | Mögliche Folge |
|---|---|
| DSGVO-Verletzung | Bußgeld bis 20 Mio € / 4% Umsatz |
| Datenpanne | Meldepflicht, Imageschaden |
| Unbefugter Zugriff | Schadensersatz |
| Fehlende Dokumentation | Bußgeld |
Sicher in der Cloud
MyTimeTracker: Deutsche Server, verschlüsselt, DSGVO-konform.
- Sofort einsatzbereit
- DSGVO-konform
- Keine Einrichtung nötig
Technische Sicherheitsmaßnahmen
Verschlüsselung
Daten schützen:
| Art | Beschreibung |
|---|---|
| Transport (TLS) | Daten auf dem Weg verschlüsselt |
| Speicherung (AES) | Daten auf Server verschlüsselt |
| Ende-zu-Ende | Nur Nutzer kann entschlüsseln |
Verschlüsselungsstandards
Was aktuell ist:
- Transport – TLS 1.3 (aktuell)
- TLS 1.2 (noch ok)
- TLS 1.1/1.0 (veraltet!)
- Speicherung – AES-256 (Standard)
- RSA-2048+ (asymmetrisch)
- Passwörter – bcrypt
- Argon2
- PBKDF2
Zugriffskontrollen
Wer darf was:
| Rolle | Zugriff |
|---|---|
| Mitarbeiter | Eigene Zeiten |
| Teamleiter | Team-Übersicht |
| HR | Alle Mitarbeiter |
| Admin | Systemeinstellungen |
| Steuerberater | Export (begrenzt) |
Authentifizierung
Sichere Anmeldung:
- Passwort – Mindestanforderungen
- Regelmäßiger Wechsel optional
- Zwei-Faktor (2FA) – SMS (weniger sicher)
- Authenticator-App (empfohlen)
- Hardware-Token (sehr sicher)
- Single Sign-On (SSO) – Mit Unternehmens-IdP
- Microsoft, Google, etc.
- Biometrie – Fingerabdruck, Face ID
Organisatorische Maßnahmen
Berechtigungskonzept
Systematisch planen:
| Schritt | Beschreibung |
|---|---|
| Rollen definieren | Wer braucht welchen Zugriff? |
| Minimalprinzip | Nur nötigen Zugriff geben |
| Dokumentieren | Wer hat was warum |
| Prüfen | Regelmäßig überprüfen |
| Entziehen | Bei Ausscheiden/Wechsel |
Schulung
Mitarbeiter sensibilisieren:
- Passwort-Sicherheit – Starke Passwörter
- Keine Weitergabe
- Phishing erkennen – Verdächtige E-Mails
- Fake-Login-Seiten
- Umgang mit Daten – Kein Screenshot von Zeitdaten
- Keine Weitergabe per Chat
- Meldewege – Vorfälle melden an wen?
Richtlinien
Was dokumentieren:
| Richtlinie | Inhalt |
|---|---|
| Zugriffsrichtlinie | Wer darf was |
| Passwortrichtlinie | Anforderungen |
| Datenschutzrichtlinie | Umgang mit Daten |
| Vorfallsrichtlinie | Reaktion auf Probleme |
Klare Berechtigungen
MyTimeTracker bietet feingranulare Rechteverwaltung – jeder sieht nur, was er soll.
- Sofort einsatzbereit
- DSGVO-konform
- Keine Einrichtung nötig
DSGVO-Konformität
Grundanforderungen
Was die DSGVO verlangt:
| Anforderung | Umsetzung |
|---|---|
| Rechtmäßigkeit | Rechtsgrundlage für Verarbeitung |
| Zweckbindung | Nur für definierten Zweck |
| Datenminimierung | Nur nötige Daten |
| Richtigkeit | Korrekturmöglichkeit |
| Speicherbegrenzung | Löschkonzept |
| Integrität | Technische Sicherheit |
Rechtsgrundlage
Wann Zeiterfassung erlaubt:
- Art. 6 (1) b DSGVO – Vertragsdurchführung (Arbeitsvertrag)
- Art. 6 (1) c DSGVO – Rechtliche Pflicht (ArbZG)
- Art. 6 (1) f DSGVO – Berechtigtes Interesse
- Einwilligung – Bei zusätzlichen Daten (GPS, etc.)
Dokumentation
Was dokumentieren:
| Dokument | Inhalt |
|---|---|
| Verarbeitungsverzeichnis | Was wird verarbeitet? |
| Datenschutz-Folgenabschätzung | Bei hohem Risiko |
| Auftragsverarbeitung | Mit Cloud-Anbieter |
| Löschkonzept | Wann wird gelöscht? |
Betroffenenrechte
Mitarbeiter haben Recht auf:
- Auskunft über gespeicherte Daten
- Berichtigung falscher Daten
- Löschung nach Aufbewahrungsfrist
- Einschränkung der Verarbeitung
- Datenübertragbarkeit
Cloud vs. On-Premise
Sicherheitsvergleich
| Aspekt | Cloud | On-Premise |
|---|---|---|
| Infrastruktur-Sicherheit | Anbieter (meist gut) | Selbst verantwortlich |
| Updates | Automatisch | Selbst durchführen |
| Backup | Meist inklusive | Selbst einrichten |
| Zugriffsschutz | Anbieter + Kunde | Nur Kunde |
| Kontrolle | Weniger | Mehr |
| Aufwand | Geringer | Höher |
Cloud-Anbieter prüfen
Worauf achten:
- Serverstandort – EU → DSGVO-konform
- Deutschland → Optimal
- Zertifizierungen – ISO 27001
- SOC 2
- AV-Vertrag – Auftragsverarbeitung
- Subunternehmer – Wer verarbeitet noch?
- Backup – Wie, wo, wie oft?
- Exit-Strategie – Daten-Export möglich?
Backup und Wiederherstellung
Backup-Strategie
Daten sichern:
| Aspekt | Empfehlung |
|---|---|
| Häufigkeit | Täglich |
| Aufbewahrung | Mindestens 30 Tage |
| Standort | Geografisch getrennt |
| Verschlüsselung | Backups auch verschlüsseln |
| Test | Regelmäßig Restore testen |
Disaster Recovery
Bei Totalausfall:
- RTO (Recovery Time Objective) – Wie schnell wieder online?
- RPO (Recovery Point Objective) – Wie viel Datenverlust akzeptabel?
- Verantwortlichkeiten – Wer macht was?
- Kommunikation – Wer informiert wen?
- Test – Regelmäßig üben
Audit und Überwachung
Audit-Logs
Was protokollieren:
| Ereignis | Protokollieren |
|---|---|
| Login/Logout | Wer, wann, wo |
| Datenänderung | Was wurde geändert |
| Datenexport | Wer hat exportiert |
| Admin-Aktionen | Alle |
| Fehler | Fehlgeschlagene Logins |
Monitoring
Überwachen:
- Ungewöhnliche Zugriffe
- Massen-Downloads
- Zugriffe außerhalb Bürozeiten
- Fehlgeschlagene Logins
- Performance-Anomalien
Häufige Fragen
Seriöse Cloud-Anbieter mit EU-Servern, Zertifizierungen und AV-Vertrag bieten oft bessere Sicherheit als selbst betriebene Systeme. Sie haben spezialisierte Sicherheitsteams und aktuelle Infrastruktur. Entscheidend ist die sorgfältige Auswahl des Anbieters.
Arbeitszeitaufzeichnungen müssen mindestens 2 Jahre aufbewahrt werden (§ 16 ArbZG). Für steuerliche Zwecke können 6-10 Jahre relevant sein. Danach sollten die Daten gelöscht werden. Ein Löschkonzept ist Pflicht.
Nur mit Rechtsgrundlage: An Steuerberater für Lohnabrechnung (AV-Vertrag), an Behörden auf Anforderung (gesetzliche Pflicht), an Betriebsrat (Mitbestimmung). Ohne Rechtsgrundlage oder Einwilligung ist die Weitergabe unzulässig.
Der Verantwortliche (Arbeitgeber) muss die Aufsichtsbehörde innerhalb von 72 Stunden informieren, wenn ein Risiko für Betroffene besteht. Betroffene Mitarbeiter müssen informiert werden, wenn ein hohes Risiko besteht. Dokumentation ist Pflicht.
Rechtlich nicht zwingend, aber empfehlenswert – besonders für Administratoren und bei Zugriff von außen. 2FA erhöht die Sicherheit erheblich und ist bei guten Anbietern standardmäßig verfügbar. Die DSGVO verlangt 'angemessene' Sicherheit.
Fazit
Datensicherheit bei der Zeiterfassung ist kein Luxus, sondern Pflicht. Arbeitszeitdaten sind personenbezogen und verdienen Schutz – durch Verschlüsselung, Zugriffskontrollen, Backups und klare Richtlinien. Bei Cloud-Lösungen entscheidet die Wahl des Anbieters: EU-Server, Zertifizierungen und ein solider AV-Vertrag sind Mindestanforderungen. Investieren Sie in Sicherheit – Ihre Mitarbeiter und die Aufsichtsbehörden werden es Ihnen danken.
Zeiterfassung starten
14 Tage kostenlos testen