fbpx
Zeiterfassung DSGVO NovaTime

Zeiterfassung DSGVO: Erfüllt NovaTime alle Vorgaben?

Zeiterfassung DSGVO-konform einrichten und betreiben

Zeiterfassung DSGVO konform betreiben: erfüllt die Zeiterfassungssoftware NovaTime die Anforderungen der Datenschutz-Grundverordnung? Müssen Anpassungen vorgenommen werden? Worauf muss ich als Unternehmen (und damit Datenverarbeiter) achten? Fragen über Fragen wirft die DSGVO auf – auch im Zusammenhang mit der Zeiterfassung. Wir wollen in diesem Beitrag auf diese Fragen eingehen und Antworten anbieten. Achten Sie vor allem auf den Absatz „Sichtrechte – hier haben Sie Handlungsbedarf“ im unteren Teil dieses Beitrages. Zudem sollten Sie bei der Nutzung des Online Workflows und den Webapplikationen auf die Verschlüsselung im Browser achten.

Bitte haben Sie jedoch Verständnis, dass eine pauschale Aussage in diesem Zusammenhang nicht möglich ist, da jedes Kundensystem individuell betrachtet werden muss. Wenden Sie sich bei Fragen direkt an Ihren Datenschutzbeauftragten. Gerne können Sie uns mit Ihren Fragen ebenfalls kontaktieren. Wir unterstützen Sie jederzeit gerne bei der Umsetzung der Vorgaben.

Zeiterfassung DSGVO: Allgemeines

Nach Art. 30 DSGVO ist für die meisten Unternehmen die Erstellung eines Verzeichnisses von Verarbeitungs-Tätigkeiten Pflicht. Dieses Verarbeitungsverzeichnis zu erstellen ist nicht ganz einfach. Zudem ist rechtlich nicht klar, wie detailliert dieses Verzeichnis zu sein hat.

Aus juristischer Sicht bietet sich hier eine Bündelung von Verarbeitungen nach einem Zweck an. Wir gehen in diesem Beitrag lediglich auf das Verarbeitungsverzeichnis Zeiterfassung ein, wie es bei unseren Kunden vorkommen dürfte. Der Beitrag erhebt an dieser Stelle keinen Anspruch auf Vollständigkeit, sondern soll Ihnen vielmehr als Hilfe beim Einstieg in die Erstellung des Verzeichnisses dienen. Die Angaben sind jeweils individuell zu Ihrem Unternehmen anzupassen.

Denken Sie bei der Erstellung bitte daran, dass ein Verarbeitungsverzeichnis zusätzlich auch immer folgende Angaben zum Verantwortlichen enthalten muss:

  • Angabe des Verantwortlichen (i.d.R. also Nennung des Unternehmens)
  • Anschrift
  • Vertretungsberechtigte Personen (bei der GmbH z.B. die Geschäftsführer)
  • Angaben zum Datenschutzbeauftragten (soweit vorhanden)

Verarbeitungsverzeichnis Zeiterfassung

MUSTERFORMULIERUNG FÜR ZEITERFASSUNG GEMÄß DSGVO:

Bezeichnung der Verarbeitung

  • Zeiterfassung

Zwecke der Verarbeitung

  • Erfassung von Arbeitszeiten
  • Erfassung von Anwesenheitszeiten
  • Erfassung von Abwesenheitszeiten
  • Erfassung von Urlaubszeiten

Beschreibung der Kategorien personenbezogener Daten

  • Vorname
  • Nachname
  • E-Mail-Adresse
  • Arbeitszeiten
  • Urlaubszeiten
  • Krankheitstage

Beschreibung der Kategorien betroffener Personen

  • Beschäftigte
  • Leiharbeiter

Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden

  • Personalabteilung
  • Vorgesetzte
  • Betriebsrat
  • Personalrat
  • Steuerberater
  • Wirtschaftsprüfer

Ggf. Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation

  • keine

Vorgesehene Fristen für die Löschung der verschiedenen Datenkategorien

  • Überstunden: 2 Jahre
  • Steuerrelevante Daten der Arbeitszeiterfassung werden nach den Vorgaben der Abgabenordnung mindestens 10 Jahre gespeichert

Alle anderen Daten werden für einen Zeitraum von zwei Jahren gespeichert. Zum Ablauf des Kalenderjahres wird geprüft, ob eine weitere Speicherung erforderlich ist. Sollte dies nicht der Fall sein, werden die Daten gelöscht.

Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO

  • siehe Datensicherheitskonzept.

Sichtrechte – hier haben Sie Handlungsbedarf!

Besonderes Augenmerk sollten Sie auf die Sichtrechte innerhalb der Datenbank legen. Prüfen Sie genau, welche Systembediener personenbezogene Informationen Ihrer MitarbeiterInnen innerhalb des Systems sehen müssen. Um Anpassungen bei den Sichtrechten vorzunehmen, müssen Sie diese in der NovaTime Userverwaltung anpassen.

Gerne unterstützen wir Sie bei diesen Anpassungsarbeiten, damit Sie auf der sicheren Seite sind. Sprechen Sie uns bei Interesse gerne an.

Mit unserem „DSGVO-ABO“ übernehmen wir übrigens gegen eine geringe monatliche Gebühr auch dauerhaft die Pflege Ihrer Userverwaltung. Bedenken Sie, dass die Sichtrechte einer kontinuierlichen Pflege und Anpassung unterliegen, damit Ihr System zu jeder Zeit den Systembedienern nur die wirklich erforderlichen Sichtrechte einräumt.

NovaTime Datenbank erfüllt alle Anforderungen

Insbesondere IT Verantwortliche haben weitere Fragen im Bezug auf die Zeiterfassung und die DSGVO. Hier geht es vor allem um die Datensicherheit innerhalb der Datenbank. Konkret: lassen sich personenbezogene Daten per Abfragebefehl aus der Datenbank kopieren. Für die Produktiv-Datenbank der NovaTime können wir Ihnen zusichern, dass dies nicht möglich ist. Die Datenbank der NovaTime Zeiterfassung und die darin gespeicherten Daten lassen sich per gezielter Abfrage bspw. per SQL-Skript oder Access-Befehlen nicht exportieren, da es sich um ein proprietäres Datenbanksystem handelt.

SQL Archiv Datenbank:

Vorsicht müssen Sie jedoch bei ggf. genutzten SQL Archiven walten lassen. Das SQL Archiv ist seit den frühen NovaTime 4.x.xx Versionen optional verfügbar. Es ist im Standard deaktiviert, sodass hier zunächst keinerlei Probleme entstehen können. Sofern Sie jedoch das Archiv in Ihrem System nutzen, so muss der Zugriff auf die SQL Datenbank über IT-Richtlinien eingegrenzt bzw. beschränkt werden.

Web-Funktionalitäten:

Nutzen Sie das Modul Workflow oder auch Browserterminals im Intranet? Dann müssen Sie die Kommunikation der Webapplikationen auf Verschlüsselung überprüfen. Am einfachsten können Sie dies über Ihren Browser testen: steht in der Adresszeile ein https://, dann erfolgt die Übertragung der Daten verschlüsselt. Sollte ein klassisches http:// dort stehen, dann muss die Kommunikation um eine SSL-Verschlüsselung ergänzt werden.

Gerne stehen wir Ihnen auch in diesem Bereich mit Rat und Tat zur Seite.

Unsere Spezialisten unterstützen Sie gerne!

Rufen Sie uns gerne an. Fordern Sie uns. Wir freuen uns auf Ihre Anfrage!

Herzliche Grüße aus Langenhagen
Ihr Christian Maxin und das ganze Team