✅ Musterlösung / Leitantwort
Da das System personenbezogene Daten verarbeitet – nämlich Arbeitszeiten, Zutrittszeiten und RFID-Zuordnungen – gelten strenge DSGVO-Anforderungen. Konkret umgesetzt wurden: Datenminimierung (nur notwendige Daten werden erfasst), Verschlüsselung der Übertragung via HTTPS/TLS 1.3, Rollentrennung zwischen Administratoren, HR und normalen Nutzern, sowie definierte Löschfristen (6 Jahre entsprechend gesetzlicher Aufbewahrungspflicht). Darüber hinaus muss der Arbeitgeber die Beschäftigten gemäß Art. 13 DSGVO über die Datenverarbeitung informieren. Die Verarbeitung von Zeiterfassungsdaten erfordert zudem in der Regel eine Betriebsvereinbarung.
