Entscheidungen zum Datenschutzrecht  ·  08. September 2025

DSB: Die Analyse von Zutrittsdaten zur anlassbezogenen anlassbezogenen Kontrolle von Anwesenheiten ist zulässig (Art 6 Abs 1 lit f DSGVO)

Behörde: Datenschutzbehörde (DSB)
Datum: 12. Juni 2025
Geschäftszahl: 2024-0.490.294 (DSB-D124.2162/23)
Rechtssatz (kurz): Ein einmaliger, anlassbezogener Abgleich von Zutrittslogs mit der Arbeitszeiterfassung zur Klärung eines konkreten Verdachts ist von Art 6 Abs 1 lit f DSGVO gedeckt

Sachverhalt

Ein Arbeitnehmer (Wohnsitz Slowenien) wandte sich an die DSB und rügte, seine Arbeitgeberin habe Daten aus dem elektronischen Zutrittssystem unzulässig zur Anwesenheitskontrolle verwendet und daraus steuer-/sozialversicherungsrechtliche Korrekturen abgeleitet. Die Arbeitgeberin betreibt ein Zutrittskartensystem und ein separates, manuell zu führendes Arbeitszeiterfassungstool.

 

Nach Hinweisen zweier unabhängiger Personen entstand Ende September/Anfang Oktober 2022 der Verdacht, dass Einträge im Zeiterfassungstool nicht zutreffen.

 

In der Woche 10.–14.10.2022 wurden deshalb Zutrittsdaten (Juli 2021 bis September 2022) stichprobenartig eingesehen; am 18.10.2022 wurde der Betroffene mit den Ergebnissen konfrontiert. Später meldete die Arbeitgeberin auf Basis des Abgleichs steuerliche Daten an das Finanzamt.

 

 

 

 

Rechtliche Begründung

 

Zuständigkeit & Verfahren: Die DSB prüfte die Beschwerde fristgerecht eingebracht (Kenntnis spätestens am 18.10.2022; Beschwerde 24.09./05.10.2023) – § 24 DSG (Präklusivfrist) gewahrt.

 

Rechtsgrundlagen u.a. Art 51, Art 57 Abs 1 lit f und Art 77 DSGVO; § 1 DSG.

 

 

Rechtsgrundlage der Verarbeitung: Die Arbeitgeberin stützte sich auf Art 6 Abs 1 lit f DSGVO. Die DSB folgt:

 

  • Berechtigtes Interesse: Aufklärung eines konkreten Verdachts falscher Anwesenheitsangaben und Vermeidung daraus folgender arbeits-, steuer- und SV-rechtlicher Risiken.

  • Erforderlichkeit: Vorherige Auswertung der (manuellen) Zeiterfassung; erst anlassbezogene Einsicht in Zutrittslogs als geeignetes Mittel. Ein gleich wirksames, milderes Mittel war nicht ersichtlich („auf das absolut Notwendige beschränken“).

  • Interessenabwägung: Einmalige, verdachtsbezogene Kontrolle zur Klärung möglicher Pflichtverletzungen; kein permanentes Monitoring. In dieser Konstellation überwiegen die Interessen der Verantwortlichen; kein Vorrang des Geheimhaltungsinteresses. Ergebnis: keine Verletzung von § 1 DSG.

 

Betriebsvereinbarung / ArbVG: Eine Betriebsvereinbarung zum Zutrittssystem sah Einsicht zur Behandlung von „Incidents“ unter Einbeziehung des Betriebsrats vor; die DSB stellt auf die datenschutzrechtliche Zulässigkeit ab und bewertet die konkrete, einmalige Abfrage als zulässig. Fragen der Mitbestimmung nach § 96 ArbVG waren hier nicht entscheidungsrelevant für die Datenschutzrechtsprüfung.

 

 

Meldepflichten / Steuerdaten: Dass die Arbeitgeberin basierend auf den Ergebnissen steuerliche Meldungen durchführte, ändert an der datenschutzrechtlichen Bewertung des Zugriffs auf Zutrittsdaten nichts; die Richtigkeit dieser Meldungen war nicht Beschwerdegegenstand.

 

 

Spruch: Beschwerde abgewiesen; Antrag auf Einleitung eines Verwaltungsstrafverfahrens zurückgewiesen.

 

 

 

Fazit

 

Die DSB bestätigt eine klare Linie:

 

Kein Dauer-Tracking, aber zielgerichtete Einmal-Kontrolle bei konkretem Verdacht kann zulässig sein – selbst wenn eine Betriebsvereinbarung eine Zeitkontrolle grundsätzlich ausschließt, solange der Zugriff sich auf den Vorfallsfall („Incident“) beschränkt und erforderlich ist.

 

Für Betroffene heißt das: Der Schutz greift vor generellen Kontrollen; bei punktuellen Abgleichten aufgrund eines nachvollziehbaren Verdachts kann Art 6 Abs 1 lit f DSGVO tragen.

 

 

 

 

Schlussfolgerungen für Verantwortliche

 

  • Dokumentieren Sie den Anlass: Verdachtsmeldung, Zeitraum, Zweck – und die Prüfung milderer Mittel.

  • Begrenzen Sie den Zugriff: Möglichst eng (Zeitfenster, betroffene Personen, Datenkategorien).

  • Betriebsrat einbeziehen: Wenn eine BV dies vorsieht oder arbeitsrechtlich geboten erscheint; halten Sie die Schritte schriftlich fest.

  • Transparenz & Rollen: Policy/Information zum Zutrittssystem, klare Rollen und Zugriffsprotokolle.

  • Trennung der Zwecke: Zutrittsdaten nicht als permanentes Zeiterfassungssystem „zweckentfremden“ – nur Anlasskontrolle.

  • Follow-up: Falls auf Basis der Ergebnisse steuer-/SV-Meldungen angepasst werden, dokumentieren Sie die Rechtsgrundlagen getrennt.

 

 

Tags: Betriebsrat, Arbeitnehmer, Dienstnehmer, Dienstgeber, Einsicht, Arbeitgeber, Zutrittskontrolle, Zutrittsdaten, Arbeitszeitaufzeichnungen

Kommentar schreiben

Kommentare: 0