Verwaltungsgericht Hamburg: Pflicht zur Arbeitszeiterfassung für Unternehmen

Mit Urteil vom 18. Juli 2025 hat das Verwaltungsgericht Hamburg (VG Hamburg) entschieden, dass eine internationale Großkanzlei die Arbeitszeiten ihrer Associates und Senior Associates in Hamburg erfassen muss. Damit ist die Arbeitszeiterfassung für Unternehmen noch deutlicher im behördlichen Vollzug angekommen. Für Arbeitgeber, HR, Compliance und Datenschutzverantwortliche geht es bei der Zeiterfassung damit nicht mehr um abstrakte Grundsatzfragen, sondern um die rechtssichere Ausgestaltung von Prozessen, Systemen und Zuständigkeiten.

Die Entscheidung des VG Hamburg zur Arbeitszeiterfassung ist auch deshalb besonders relevant, weil sie über das klassische Arbeitszeitrecht hinausweist. Wer Arbeitszeiten erfasst, verarbeitet personenbezogene Daten von Mitarbeitern. Wer für die Arbeitszeiterfassung oder Zeiterfassung biometrische oder KI-gestützte Systeme einsetzt, muss zusätzlich die DSGVO und gegebenenfalls auch die KI-Verordnung mitdenken. Für Unternehmen wird damit immer wichtiger, Arbeitszeitrecht, Datenschutz und das Arbeitsschutzgesetz gemeinsam in den Blick zu nehmen. Gerade an der Schnittstelle zwischen Arbeitszeitrecht, ArbzG-Pflichten und Datenschutz zeigt sich, dass die Einführung eines Zeiterfassungssystems heute als echtes und modernes Compliance-Thema verstanden werden muss.

Rechtliche Ausgangslage: Warum die Pflicht zur Arbeitszeiterfassung bereits besteht

Die Pflicht zur Arbeitszeiterfassung ist keine bloße politische Ankündigung und hängt nicht davon ab, ob der Gesetzgeber das Arbeitszeitgesetz ausdrücklich neu fasst. Ihre rechtliche Grundlage ist bereits durch die Rechtsprechung vorgezeichnet. Ausgangspunkt ist die Entscheidung des Europäischen Gerichtshofs vom 14. Mai 2019 in der Sache CCOO/Deutsche Bank. Der EuGH hat klargestellt, dass die Mitgliedstaaten Arbeitgeber verpflichten müssen, ein objektives, verlässliches und zugängliches System einzurichten, mit dem die tägliche Arbeitszeit gemessen werden kann. Nur so lassen sich die unionsrechtlich garantierten Rechte auf Begrenzung der Höchstarbeitszeit sowie auf tägliche und wöchentliche Ruhezeiten wirksam sichern.

Diese Linie hat das Bundesarbeitsgericht (BAG) mit Beschluss vom 13. September 2022 für das deutsche Recht aufgenommen und fortgeführt. Das BAG hat entschieden, dass Arbeitgeber bereits nach § 3 Abs. 2 Nr. 1 ArbSchG verpflichtet sind, ein System einzuführen, mit dem die von den Arbeitnehmern geleistete Arbeitszeit erfasst werden kann. Damit ist die Arbeitszeiterfassung schon nach geltendem Recht eine Organisationspflicht des Arbeitgebers. In der arbeitsrechtlichen Praxis stehen dabei das Arbeitsschutzgesetz, das Arbeitszeitgesetz und damit auch Fragen des Arbzg im Mittelpunkt.

Für Unternehmen ist diese Entwicklung von erheblicher praktischer Bedeutung. Die Arbeitszeiterfassung ist seitdem nicht mehr nur eine Frage arbeitsrechtlicher Diskussion, sondern eine konkrete Organisationspflicht. Das Tehme Arbeitszeiterfassung kann daher in Unternehmen auch erhebliche finanzielle Auswirkungen, z.B. im Hinblick auf die finanzielle Ressourcenplanung mit sich bringen. Wer keine belastbare Zeiterfassung der tatsächlich geleisteten Arbeitszeit vorhält, kann die Einhaltung von Höchstarbeitszeiten, Ruhezeiten und sonstigen Vorgaben des Arbeitszeitrechts kaum wirksam kontrollieren. Gerade dadurch steigt das Risiko, dass Verstöße gegen das Arbeitszeitrecht unentdeckt bleiben und später gegenüber der Aufsichtsbehörde nur schwer aufgearbeitet werden können.

Ganz ohne Differenzierung sollte die Pflicht gleichwohl nicht dargestellt werden. Juristisch präzise ist die Aussage, dass die Erfassungspflicht für Arbeitnehmer gilt, soweit keine gesetzlich zulässigen Ausnahmen eingreifen. Für die weit überwiegende Unternehmenspraxis bleibt aber entscheidend: Die Arbeitszeiterfassung ist rechtlich bereits heute verpflichtend und sollte nicht länger aufgeschoben werden. Das gilt insbesondere mit Blick auf das Arbeitsschutzgesetz und die Anforderungen des Arbzg in der Unternehmensorganisation.

 

 

Urteil des VG Hamburg zur Zeiterfassung: Warum die Entscheidung für Unternehmen wichtig ist

Das VG Hamburg hatte über eine Anordnung der zuständigen Arbeitsschutzbehörde zu entscheiden. Hintergrund waren Hinweise auf regelmäßige Überschreitungen arbeitszeitrechtlicher Grenzen. Die Behörde verlangte daraufhin, dass die tatsächlich geleisteten Arbeitszeiten der betroffenen angestellten Rechtsanwälte nachvollziehbar aufgezeichnet werden.

Das Gericht bestätigte den Kern dieser Anordnung. Aus Sicht des VG Hamburg ist eine wirksame Kontrolle von Höchstarbeitszeit und Ruhezeiten ohne verlässliche Aufzeichnungen praktisch nicht möglich. Genau darin liegt die eigentliche Signalwirkung der Entscheidung zur Arbeitszeiterfassung. Die bereits bestehende Pflicht zur Arbeitszeiterfassung wird nicht nur arbeitsrechtlich hergeleitet, sondern kann auch konkret verwaltungsrechtlich durchgesetzt werden. Unternehmen müssen deshalb damit rechnen, dass die Aufsichtsbehörde bei erkennbaren Verstößen gegen die arbeitszeitrechtliche Organisation einschreitet.

Zugleich zeigt die Entscheidung, dass auch behördliche Maßnahmen rechtlichen Grenzen unterliegen.

Nicht jede zusätzliche organisatorische Nebenpflicht ist automatisch zulässig. Für Unternehmen, Organisationen und Firmen kann es sich daher lohnen, gemeinsam mit externer anwaltlicher Beratung, überprüfen zu lassen, ob sich behördliche Maßnahmen im rechtlich zulässigen Rahmen halten oder darüber hinausgehen.

Denn zusätzliche Anordnungen müssen sich insbesondere regelmäßig an einer wirksamen Ermächtigungsgrundlage und dem Grundsatz der Verhältnismäßigkeit messen lassen. Für Unternehmen ändert das im Kern in rechtlicher Hinsicht voraussichtlich aber im Hinblick auf die geforderte Organtination nicht viel.

Das hat zur Folge: Wer seine Zeiterfassung bislang nicht belastbar organisiert hat, sollte das Thema jetzt mit Priorität angehen. Gerade aus Sicht von Arbeitgebern und Mitarbeitern ist die Entscheidung des Verwaltungsgericht Hamburg deshalb von erheblicher praktischer Relevanz.

 

Vertrauensarbeitszeit und Zeiterfassung: Warum Unternehmen trotzdem erfassen müssen

Viele Unternehmen in beratungsintensiven oder wissensgetriebenen Branchen argumentieren, klassische Zeiterfassung passe nicht zu Vertrauensarbeitszeit, Mandatsgeschäft, Projektarbeit oder hochqualifizierten Tätigkeiten. Gerade deshalb ist die Hamburger Entscheidung zur Arbeitszeiterfassung so praxisrelevant.

Wichtig ist: Vertrauensarbeitszeit bleibt zulässig.

Unzulässig ist aber die Annahme, dass deshalb auf eine nachvollziehbare Arbeitszeiterfassung verzichtet werden dürfe. Unternehmen können Beschäftigten weiterhin Flexibilität bei der Arbeitsorganisation einräumen. Sie müssen aber dennoch sicherstellen, dass Beginn, Ende und Dauer der Arbeitszeit nachvollziehbar bleiben. Das gilt für alle Mitarbeiter, soweit nicht ausnahmsweise gesetzlich anerkannte Sonderkonstellationen greifen.

Auch hohe Qualifikation, eigenverantwortliche Tätigkeit oder anspruchsvolle Projektarbeit heben die Schutzmechanismen des Arbeitszeitrechts nicht auf. Wenn Arbeitszeitgrenzen dauerhaft nur deshalb überschritten werden, weil interne Abläufe oder wirtschaftliche Erwartungen anders nicht funktionieren, liegt das Problem regelmäßig nicht in der Erfassung, sondern in der Organisation des Arbeitgebers. Solche strukturellen Verstöße können sowohl unter dem Arbeitsschutzgesetz als auch im Rahmen von Arbzg-bezogenen Kontrollen relevant werden.

 

Datenschutz bei der Arbeitszeiterfassung: Was Unternehmen nach der DSGVO beachten müssen

Arbeitszeiterfassung ist immer auch Datenverarbeitung.

Unternehmen, Firmen und Organisationen verarbeiten dabei u.a. personenbezogene Daten ihrer Beschäftigten und müssen deshalb die Vorgaben der DSGVO beachten. Das gilt unabhängig davon, ob ein einfaches webbasiertes Tool, eine mobile App oder ein konzernweit eingesetztes System zur Zeiterfassung verwendet wird.

Aus datenschutzrechtlicher Sicht kommt es zunächst auf eine klare Zweckbestimmung an. Arbeitszeitdaten dürfen nicht voraussetzungslos für andere Zwecke weiterverwendet werden. Ebenso wichtig ist der Grundsatz der Datenminimierung. Erfasst werden sollte das, was für die Erfüllung der arbeitszeitrechtlichen Pflichten erforderlich ist. Systeme zur Arbeitszeiterfassung, die ohne nähere Prüfung zusätzliche Standortdaten, Bewegungsprofile oder Verhaltensmuster auswerten, sind deshalb besonders kritisch.

Solche erweiterten Funktionen können nicht nur datenschutzrechtlich problematisch sein, sondern auch bei der Aufsichtsbehörde Fragen nach der Erforderlichkeit auslösen. Bei nicht datenschutzkonformer Umsetzung besteht dabei das Risiko von Datenschutzverstößen, die mit Bußgeldern von bis zu 20 Mio. Euro bzw. 4 % des (konzernweiten) Jahresvorumsatz geahndet werden können.

Hinzu kommen Transparenzpflichten, Berechtigungskonzepte und angemessene Löschregeln.

Beschäftigte müssen nachvollziehen können, welche Daten zu welchem Zweck verarbeitet werden und wer Zugriff darauf hat. Unternehmen sollten deshalb nicht nur das Tool selbst prüfen, sondern auch die begleitenden Prozesse, etwa Rollen- und Zugriffskonzepte, Informationen nach Art. 13 DSGVO sowie interne Zuständigkeiten. Auch hier können fehlerhaft umgesetzte unternehmensinterne Prozesse schnell zu empfindlichen Bußgeldern bei Datenschutzverstößen führen.

Das ist auch deshalb wichtig, weil Fehler bei der Zeiterfassung schnell sowohl arbeitsrechtliche Verstöße als auch datenschutzrechtliche Risiken gegenüber Mitarbeitern und Behörden begründen können.

 

Arbeitszeiterfassung mit Biometrie und KI: Rechtliche Risiken für Unternehmen

Besonders sensibel sind biometrische Systeme zur Zeiterfassung, etwa mit Fingerabdruck oder Gesichtserkennung.

Solche Lösungen wirken für Unternehmen oft praktisch, weil sie Missbrauch verhindern oder Prozesse vereinfachen sollen.

Rechtlich sind sie jedoch deutlich prüfungsintensiver als einfache Systeme. Wer biometrische Verfahren bei der Arbeitszeiterfassung einsetzt, muss sorgfältig prüfen, ob die Verarbeitung wirklich erforderlich und verhältnismäßig ist.

Ähnliches gilt für KI-gestützte Funktionen. Nicht jedes digitale System zur Zeiterfassung ist bereits ein KI-System im regulatorischen Sinn. Relevant wird die KI-Verordnung aber dann, wenn das System mehr tut als bloß Zeitpunkte zu dokumentieren, etwa wenn Arbeitszeitdaten zur Bewertung, Klassifizierung, Priorisierung oder Verhaltensprognose von Beschäftigten genutzt werden. Auch zusätzliche Analyse- oder Überwachungsfunktionen des Anbieters sollten deshalb nicht nur technisch, sondern immer auch regulatorisch bewertet werden.

Für die Praxis ist das besonders wichtig, weil viele moderne Systeme zur Arbeitszeiterfassung mit Funktionspaketen vertrieben werden, die weit über eine reine Zeiterfassung hinausgehen. Unternehmen sollten deshalb nicht nur die Kernfunktion prüfen, sondern gerade auch optionale Module, Voreinstellungen und spätere Erweiterungen. Sonst drohen Verstöße gegen Datenschutzrecht, gegen Vorgaben aus dem Arbeitsschutzgesetz oder gegen Anforderungen, die in der Praxis mit Arbzg und Arbeitszeit-Compliance verbunden werden.

Für Unternehmen ist es dabei wichtig, dass es schon gar nicht zu Rechtsverstößen kommt, da dies für Unternehmen in finanzieller Hinsicht durchaus teuer werden kann.

Denn währende die Datenschutzgrundverordnung für Datenschutzverstöße Bußgelder von bis zu 20 Mio. Euro bzw. 4 % des (konzernweiten) Jahresvorumsatz vorsieht, können Verstöße gegen die KI-Verordnung (AI Act) regelmäßig mit bis zu 35 Mio. Euro bzw. 7 % des Jahresvorumsatzes parallel dazu geahndet werden, wobei KI-Verstöße zukünftig von der Bundesnetzagentur als Aufsichtsbehörde verfolgt werden sollen.

 

Typische Fehlerquellen bei der Einführung von Zeiterfassungssystemen

In der Praxis zeigen sich immer wieder dieselben Schwachstellen. Besonders häufig sind folgende Fehler:

• Es werden nur abrechenbare Zeiten erfasst, nicht aber die tatsächlich geleistete Arbeitszeit.
• Vertrauensarbeitszeit wird mit Dokumentationsfreiheit verwechselt.
• Datenschutz wird erst nach Auswahl des Tools zur Zeiterfassung geprüft.
• Biometrische oder überwachungsnahe Funktionen werden ohne Erforderlichkeitsprüfung aktiviert.
• KI-Funktionen des Anbieters werden nicht gesondert rechtlich bewertet.
• Unterweisung, Verantwortlichkeiten und interne Kontrollen bleiben ungeklärt.

Gerade der letzte Punkt wird häufig unterschätzt.

Ein System zur Arbeitszeiterfassung ist nicht schon deshalb rechtssicher, weil es technisch vorhanden ist.

Unternehmen müssen organisatorisch sicherstellen, dass die Zeiterfassung vollständig, verständlich und belastbar umgesetzt wird.

 

Arbeitszeiterfassung rechtssicher umsetzen: Was Unternehmen jetzt konkret tun sollten

Die Einführung oder Überarbeitung einer Arbeitszeiterfassung sollte als integriertes Compliance-Projekt behandelt werden.

In der Praxis empfiehlt sich deshalb insbesondere folgendes Vorgehen:

• Prüfen Sie, ob Ihr bestehendes System tatsächlich die geleistete Arbeitszeit und nicht nur Projekt- oder Abrechnungszeiten erfasst.
• Begrenzen Sie die Datenerhebung auf das arbeitszeitrechtlich Erforderliche.
• Bewerten Sie Zusatzfunktionen gesondert, insbesondere biometrische Verfahren, Tracking-Elemente und KI-Module.
• Aktualisieren Sie Ihre Informationen nach Art. 13 DSGVO sowie Berechtigungskonzepte und Löschregeln.
• Regeln Sie Unterweisung und Verantwortlichkeiten für HR, Führungskräfte und Mitarbeiter.
• Prüfen Sie frühzeitig die Abstimmung mit Betriebsrat, Datenschutzorganisation und IT, wenn ein neues System zur Zeiterfassung eingeführt oder ein bestehendes Tool erweitert werden soll.

Unternehmen sollten dabei insbesondere im Blick behalten, dass die rechtssichere Zeiterfassung nicht nur eine Frage der Technik ist.

Entscheidend ist eine belastbare Gesamtorganisation, die Anforderungen aus dem Arbeitsschutzgesetz, die praktische Reichweite des Arbzg, die Erwartungen der Aufsichtsbehörde und die Rechte der Mitarbeiter zusammenführt. So lassen sich Verstöße frühzeitig vermeiden und damit auch rechtliche Problematiken und finanzielle Verluste, beispielsweise infolge von Bußgeldern.

 

Fazit

Das VG Hamburg macht deutlich, dass die Pflicht zur Arbeitszeiterfassung nicht nur auf dem Papier steht, sondern im Einzelfall auch durch die zuständige Arbeitsschutzbehörde durchgesetzt werden kann.

Zugleich bleibt es bei der dogmatischen Grundlage aus EuGH und BAG: Arbeitgeber müssen bereits nach geltendem Recht ein verlässliches System zur Erfassung der Arbeitszeit vorhalten.

Wichtig: Für Unternehmen folgt daraus mehr als nur die Einführung irgendeines Tools.

Entscheidend ist eine rechtssichere Gesamtkonzeption, die Arbeitszeitrecht, Datenschutz und mögliche KI-Funktionen zusammen betrachtet.

Besonders prüfbedürftig sind bestehende Systeme, die nur abrechenbare Zeiten erfassen, zusätzliche Tracking- oder Biometrie-Funktionen enthalten, konzernweit ausgerollt werden oder bereits Analyse- und KI-Module nutzen.

Wo solche Systeme nicht sauber gesteuert werden, drohen Verstöße gegenüber arbeitszeitrechtlichen, datenschutzrechtlichen und organisatorischen Anforderungen.

Wenn Sie ein bestehendes System zur Arbeitszeiterfassung überprüfen, ein neues Tool zur Zeiterfassung auswählen, biometrische Funktionen bewerten oder eine konzernweite beziehungsweise KI-gestützte Lösung rechtssicher einführen möchten, sollten die arbeitsrechtlichen, datenschutzrechtlichen und regulatorischen Anforderungen frühzeitig zusammen geprüft werden.

Unsere Kanzlei unterstützt Sie mit unserer jahrelangen Expertise dabei, Zeiterfassungssysteme rechtssicher aufzusetzen, DSGVO-konform auszugestalten und KI-bezogene Risiken belastbar zu bewerten.

Nehmen Sie bei Bedarf, wie z.B. einer anstehenden Prozessoptimierung infolge der Einführung oder Modernisierung von Arbeitszeiterfassungssystemen daher gerne Kontakt zu uns auf.