DSB: Zutrittsdaten als Grundlage

für Ad-hoc-Kontrolle und Steuerdaten – zulässig

 

Behörde: Datenschutzbehörde (DSB)
Entscheidungsdatum: 12.06.2025
GZ: 2024-0.490.294 (D124.2162/23)

 

Kurz-Rechtssatz:
Die anlassbezogene Auswertung eines elektronischen Zutrittssystems zur Überprüfung von Homeoffice-/Anwesenheitsangaben bei Mißbrauchsverdacht kann auf Art 6 Abs 1 lit f DSGVO gestützt werden. 

Die anschließende Meldung korrigierter Homeoffice-Tage an das Finanzamt erfolgt auf Grundlage einer gesetzlichen Pflicht nach Art 6 Abs 1 lit c DSGVO.

 

---

Sachverhalt

Ein in Österreich beschäftigter, in Slowenien wohnhafter Mitarbeiter eines Halbleiterunternehmens arbeitet teilweise im Homeoffice. Das Unternehmen betreibt am österreichischen Standort ein elektronisches Zutrittssystem (Karte + Reader) und ein getrenntes System zur Arbeitszeiterfassung, in dem die Mitarbeiter ihre Arbeitszeit und den Arbeitsort (Büro/Homeoffice) selbst eintragen.

 

Ende September/Anfang Oktober 2022 entstehen beim Arbeitgeber konkrete Verdachtsmomente, dass eine Gruppe slowenischer Grenzgänger – darunter der Beschwerdeführer – falsche Angaben im Arbeitszeiterfassungstool zur Anwesenheit im Büro gemacht hat. Daraufhin werden zuerst stichprobenartig die Einträge geprüft, anschließend die Zutrittsdaten für den Zeitraum Juli 2021 bis September 2022 ausgewertet und mit den Angaben im Zeiterfassungstool abgeglichen.

 

Am 18.10.2022 wird der Mitarbeiter mit diesen Ergebnissen konfrontiert. Er bestreitet die Rechtmäßigkeit der Nutzung der Zutrittsdaten und verweist insbesondere auf die Betriebsvereinbarung „Zutrittssystem/Videoüberwachung“.

 

Der Arbeitgeber verwendet die Ergebnisse der Auswertung, um Lohnzettel und steuerrelevante Angaben – insbesondere die Anzahl der Homeoffice-Tage – zu korrigieren und diese Daten an das Finanzamt zu melden. Der Mitarbeiter sieht darin eine Verletzung seines Rechts auf Geheimhaltung und spricht von unrechtmäßig erlangten und unrichtigen Steuerdaten.

 

Die Beschwerde wird schließlich als Beschwerde wegen Verletzung des Rechts auf Geheimhaltung gewertet.

 

Rechtliche Begründung

1. Beschwerdegegenstand und Fristen

Die DSB legt den objektiv erkennbaren Willen des Beschwerdeführers zugrunde: Es geht um die Zulässigkeit der Verwendung der Zutrittsdaten.
Die Beschwerde wurde rechtzeitig innerhalb der einjährigen subjektiven und auch innerhalb der objektiven Verjährungsfrist eingebracht.

 

2. Geheimhaltung und Rechtsgrundlagen

Die Verarbeitung personenbezogener Daten bedarf einer Rechtsgrundlage. Zur Anwendung kamen:

• Art 6 Abs 1 lit f DSGVO für die Auswertung der Zutrittsdaten und den Abgleich mit der Zeiterfassung.

• Art 6 Abs 1 lit c DSGVO für die Übermittlung der korrigierten Daten an das Finanzamt.

 

3. Auswertung der Zutrittsdaten – berechtigtes Interesse

Die DSB prüft den Drei-Stufen-Test:

1. Berechtigtes Interesse:
   Aufklärung verdächtiger, möglicherweise falscher Arbeitszeitangaben; Vermeidung steuer-/SV-rechtlicher Nachteile.

2. Erforderlichkeit:
   Die Auswertung erfolgte erst nach konkreter Verdachtslage und in klar begrenztem Zeitraum und Personenkreis. Es gab kein gleich geeignetes milderes Mittel.

3. Interessenabwägung:
   Die Einzelkontrolle war gerechtfertigt, da keine permanente Überwachung stattfand und die wirtschaftlichen und rechtlichen Interessen des Arbeitgebers überwogen.

→ Ergebnis: Verarbeitung zulässig.

 

4. Betriebsvereinbarung & ArbVG

Die Betriebsvereinbarung diene primär Sicherheitszwecken. Dennoch ist eine anlassbezogene Auswertung bei konkreten Verdachtsmomenten möglich.

 

Wesentliche Punkte:

• Es handelt sich um eine ad-hoc-Kontrolle, nicht um eine generelle Kontrolle.

• Zwei Betriebsratsmitglieder wurden vorab informiert.

• Ob die Betriebsvereinbarung arbeitsrechtlich korrekt eingehalten wurde, ist nicht entscheidend für die datenschutzrechtliche Bewertung.

5. Übermittlung an das Finanzamt

Der Arbeitgeber ist steuerrechtlich verpflichtet, korrekte Lohnzettel sowie berichtigte Lohnzettel zu übermitteln. Dazu gehört auch die richtige Anzahl der Homeoffice-Tage.

Rechtsgrundlage: Art 6 Abs 1 lit c DSGVO.

 

Steuerrechtliche Richtigkeitsfragen sind nicht Gegenstand des Verfahrens.

 

6. Kein Anspruch auf Einleitung eines Verwaltungsstrafverfahrens

Betroffene haben kein subjektives Recht auf Einleitung eines Verwaltungsstrafverfahrens.
Der Antrag wurde daher zurückgewiesen.

 

Fazit

 

Die DSB weist die Beschwerde als unbegründet ab:

• Zutrittsdaten dürfen anlassbezogen ausgewertet werden.

• Die Finanzamtsmeldung war aufgrund gesetzlicher Pflichten zulässig.

• Keine Datenschutzverletzung.

• Arbeitsrechtliche Fragen beeinflussen die datenschutzrechtliche Beurteilung nicht.

 

Schlussfolgerungen für Verantwortliche

• Zutrittssysteme dürfen in Verdachtsfällen ausgewertet werden, wenn dies dokumentiert, begrenzt und verhältnismäßig geschieht.
  
  
• Dokumentation ist essenziell – insbesondere Herkunft des Verdachts, Prüfung milderer Mittel und Umfang der Auswertung.
  
  
• Betriebsvereinbarungen praxisnah formulieren, sodass anlassbezogene Kontrollen möglich bleiben.
  
  
• Steuerliche Pflichten gehen vor: Falsche Daten dürfen nicht ans Finanzamt gemeldet werden.
  
  
• Transparenz gegenüber Mitarbeitenden: Datenschutzhinweise sollten die Möglichkeit einer anlassbezogenen Auswertung nennen.