DSGVODatenschutzCompliance

DSGVO auf der Baustelle: Tagesberichte datenschutzkonform erfassen

Rappo Team7 Min. Lesezeit

Tagesberichte auf der Baustelle enthalten personenbezogene Daten: Namen der Arbeiter, Arbeitszeiten, teilweise Fotos von Personen. Seit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 gelten strenge Regeln für den Umgang mit diesen Daten. Viele Bauunternehmen unterschätzen, dass auch die alltägliche Baustellendokumentation datenschutzrechtlich relevant ist.

Kurz zusammengefasst: Tagesberichte auf der Baustelle enthalten personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO (Namen, Arbeitszeiten, ggf. Fotos). Die Erhebung ist in den meisten Fällen durch Art. 6 Abs. 1 lit. b (Vertragserfüllung) und lit. c (gesetzliche Pflicht nach MiLoG § 17, ArbZG § 16) gedeckt. Arbeitgeber müssen ihre Mitarbeiter gemäß Art. 13 DSGVO über die Datenverarbeitung informieren, den Grundsatz der Datenminimierung beachten und ein Löschkonzept nach Ablauf der Aufbewahrungsfristen haben.

Dieser Artikel erklärt, welche Anforderungen die DSGVO an die Erfassung von Tagesberichten stellt und wie Sie die Dokumentation datenschutzkonform gestalten.

Welche personenbezogenen Daten enthalten Tagesberichte?

In einem typischen Tagesbericht werden folgende personenbezogene Daten gemäß Art. 4 Nr. 1 DSGVO erfasst:

  • Vor- und Nachname der eingesetzten Arbeitnehmer
  • Arbeitszeiten (Beginn, Ende, Pausen) pro Person
  • Qualifikation und Funktion (z.B. Vorarbeiter, Facharbeiter, Hilfsarbeiter)
  • Tätigkeitsbeschreibungen mit Bezug zu einzelnen Personen
  • Fotos, auf denen Personen erkennbar sind
  • Krankmeldungen oder Abwesenheitsgründe
  • Gegebenenfalls GPS-Daten bei digitaler Erfassung

Auf welcher Rechtsgrundlage dürfen diese Daten erhoben werden?

Die DSGVO verbietet die Verarbeitung personenbezogener Daten nicht generell, sie verlangt aber eine Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO. Für Tagesberichte kommen drei Rechtsgrundlagen in Betracht:

1. Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Die Erfassung von Arbeitszeiten und Tätigkeiten ist notwendig für die Durchführung des Arbeitsvertrages. Der Arbeitgeber muss wissen, wann und wo seine Mitarbeiter arbeiten, um seinen vertraglichen und gesetzlichen Pflichten nachzukommen (Lohnabrechnung, Arbeitszeitgesetz, Unfallversicherung).

2. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)

Zahlreiche Gesetze verpflichten den Arbeitgeber zur Erfassung bestimmter Daten:

  • Arbeitszeitgesetz (ArbZG) § 16 Abs. 2: Pflicht zur Aufzeichnung der über 8 Stunden hinausgehenden Arbeitszeit
  • Mindestlohngesetz (MiLoG) § 17: Pflicht zur Aufzeichnung von Beginn, Ende und Dauer der täglichen Arbeitszeit in der Baubranche
  • BAG-Urteil vom 13.09.2022 (1 ABR 22/21): Allgemeine Pflicht zur Erfassung der Arbeitszeit
  • VOB/B § 3 Abs. 4: Pflicht zur Erstellung von Tagesberichten auf Verlangen des Auftraggebers

Diese gesetzlichen Pflichten sind eine eigenständige Rechtsgrundlage und machen eine Einwilligung der Mitarbeiter in vielen Fällen entbehrlich.

3. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Für Daten, die über die gesetzlichen Pflichten hinausgehen (z.B. detaillierte Tätigkeitsbeschreibungen, Fotos), kann sich der Arbeitgeber auf sein berechtigtes Interesse stützen. Dieses muss jedoch gegen die Interessen der betroffenen Arbeitnehmer abgewogen werden.

Was bedeutet Datenminimierung für Tagesberichte?

Art. 5 Abs. 1 lit. c DSGVO schreibt vor, dass personenbezogene Daten dem Zweck angemessen und auf das notwendige Maß beschränkt sein müssen. Für Tagesberichte bedeutet das:

  • Erfassen Sie nur Daten, die Sie tatsächlich benötigen. Wenn es für die Abrechnung reicht, die Anzahl der Arbeitskräfte pro Qualifikation zu erfassen, müssen Sie nicht jeden einzelnen Arbeiter namentlich auflisten.
  • Vermeiden Sie überschießende Beschreibungen. Ein Vermerk wie "Herr Müller war heute auffallend langsam" hat in einem Tagesbericht nichts zu suchen.
  • Fotografieren Sie Leistungen, nicht Personen. Wenn Sie die fertige Bewehrung dokumentieren wollen, müssen die Arbeiter nicht mit im Bild sein.
  • Gesundheitsdaten besonders schützen. Krankmeldungen sind Gesundheitsdaten im Sinne von Art. 9 DSGVO. Erfassen Sie im Tagesbericht nur die Abwesenheit, nicht den Grund.

Welche Informationspflichten hat der Arbeitgeber?

Gemäß Art. 13 DSGVO müssen Sie Ihre Mitarbeiter über die Verarbeitung ihrer Daten informieren:

  1. Zweck der Verarbeitung: Warum erfassen Sie Tagesberichte? (z.B. gesetzliche Dokumentationspflicht, Projektabrechnung, Arbeitszeitnachweis)
  2. Rechtsgrundlage: Auf welcher Grundlage verarbeiten Sie die Daten?
  3. Empfänger: Wer hat Zugriff auf die Daten? (z.B. Bauleiter, Auftraggeber, Behörden bei Prüfungen)
  4. Speicherdauer: Wie lange bewahren Sie die Daten auf?
  5. Rechte der Betroffenen: Auskunft, Berichtigung, Löschung, Widerspruch

Diese Information sollte Teil der Datenschutzinformation für Beschäftigte sein, die jeder Mitarbeiter bei Arbeitsantritt erhält. Für die konkreten Fristen lesen Sie unseren Artikel zu den Aufbewahrungsfristen im Bau.

Wie lange dürfen Tagesberichte gespeichert werden?

Die DSGVO kennt den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e): Personenbezogene Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist. Gleichzeitig gibt es gesetzliche Aufbewahrungspflichten:

  • Arbeitszeitaufzeichnungen: Mindestens 2 Jahre gemäß MiLoG § 17 Abs. 2
  • Lohnunterlagen: 6 Jahre gemäß HGB § 257 Abs. 4
  • Tagesberichte als Geschäftsunterlagen: 6 bis 10 Jahre gemäß HGB § 257 und AO § 147
  • Bautagebücher bei VOB-Verträgen: Bis zum Ende der Gewährleistungsfrist (VOB/B: 4 Jahre, BGB: 5 Jahre nach Abnahme)

Nach Ablauf der längsten anwendbaren Frist besteht eine Löschpflicht. Unternehmen müssen ein Löschkonzept haben und dieses umsetzen.

Welche Rechte haben die Beschäftigten?

Ihre Mitarbeiter haben als betroffene Personen folgende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO): Jeder Mitarbeiter kann Auskunft darüber verlangen, welche Daten über ihn gespeichert sind. Das schließt Tagesberichte ein.
  • Recht auf Berichtigung (Art. 16 DSGVO): Wenn Daten falsch sind (z.B. falsche Arbeitszeiten), muss der Arbeitgeber sie korrigieren.
  • Recht auf Löschung (Art. 17 DSGVO): Nach Ablauf der Aufbewahrungsfristen können Mitarbeiter die Löschung ihrer Daten verlangen.
  • Recht auf Einschränkung (Art. 18 DSGVO): In bestimmten Fällen kann der Mitarbeiter verlangen, dass seine Daten nicht weiter verarbeitet werden.

Praxistipp: Richten Sie einen festen Ansprechpartner (Datenschutzbeauftragten) ein. Ab 20 Personen, die regelmäßig personenbezogene Daten verarbeiten, ist die Benennung eines Datenschutzbeauftragten gemäß BDSG § 38 Pflicht.

Was ist bei Fotos auf der Baustelle erlaubt?

Fotos von Bauleistungen (Bewehrung, Schalung, fertige Bauteile) ohne erkennbare Personen sind datenschutzrechtlich unproblematisch. Fotos, auf denen Personen erkennbar sind, sind personenbezogene Daten und brauchen eine Rechtsgrundlage. Die Dokumentation des Baufortschritts kann ein berechtigtes Interesse sein, das Fotos mit Personen im Hintergrund rechtfertigt. Gezielte Porträtfotos erfordern eine Einwilligung.

Empfehlung: Weisen Sie Ihre Mitarbeiter an, bei der Baustellendokumentation Leistungen statt Personen zu fotografieren.

Checkliste: DSGVO-konforme Tagesberichte

  • Rechtsgrundlage dokumentiert: Sie können für jedes erhobene Datum angeben, auf welcher Rechtsgrundlage es verarbeitet wird
  • Datenschutzinformation: Ihre Mitarbeiter wurden über die Datenverarbeitung informiert (Art. 13 DSGVO)
  • Datenminimierung: Im Tagesbericht werden nur Daten erfasst, die tatsächlich benötigt werden
  • Zugriffskonzept: Nur berechtigte Personen haben Zugriff auf die Tagesberichte
  • Löschkonzept: Es ist festgelegt, wann Tagesberichte gelöscht werden
  • Auftragsverarbeitung: Bei externem Dienstleister haben Sie einen AV-Vertrag geschlossen (Art. 28 DSGVO)
  • Technische Maßnahmen: Verschlüsselung, Zugriffskontrolle, Backups
  • Fotodokumentation: Es gibt Anweisungen für datenschutzkonforme Fotos
  • Datenschutzbeauftragter: Ab 20 Personen in der Datenverarbeitung ist ein DSB benannt (BDSG § 38)
  • Verarbeitungsverzeichnis: Die Verarbeitung ist im Verzeichnis der Verarbeitungstätigkeiten aufgeführt (Art. 30 DSGVO)

So löst Rappo dieses Problem

Rappo ist eine Progressive Web App für digitale Baustellendokumentation, spezialisiert auf Unternehmen der Bahn-Infrastruktur. Datenschutz ist von Anfang an eingebaut:

  • Hosting in der EU: Alle Daten werden auf Servern in Frankfurt am Main (EU) gespeichert. Kein Transfer in Drittstaaten.
  • Rollenbasiertes Zugriffskonzept: Arbeiter sehen nur ihre eigenen Berichte, Bauleiter die Berichte ihrer Projekte, HR-Admins haben den Überblick über die gesamte Organisation.
  • Datenminimierung durch Struktur: Die vordefinierten Felder in Rappo sorgen dafür, dass genau die Daten erfasst werden, die benötigt werden.
  • Revisionssichere Speicherung: Freigegebene Berichte können nicht mehr verändert werden. Änderungen werden im Audit-Log protokolliert.
  • Verschlüsselung: Alle Daten werden verschlüsselt übertragen (TLS) und gespeichert.
  • Löschung möglich: Wenn Aufbewahrungsfristen abgelaufen sind, können Daten gezielt gelöscht werden.

Datenschutz und Dokumentation vereinen

Rappo wurde mit Datenschutz im Kern entwickelt: EU-Hosting, Rollenkonzept und Verschlüsselung sind Standard.

Jetzt Rappo kostenlos testen →

Häufige Fragen

Brauche ich eine Einwilligung meiner Mitarbeiter für Tagesberichte?

In den meisten Fällen nein. Die Erfassung von Arbeitszeiten und Tätigkeiten in Tagesberichten ist durch die Rechtsgrundlagen der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und der gesetzlichen Pflicht (Art. 6 Abs. 1 lit. c DSGVO, z.B. MiLoG § 17) gedeckt. Eine separate Einwilligung ist dann nicht erforderlich.

Darf ich Fotos von Mitarbeitern auf der Baustelle machen?

Fotos von Bauleistungen ohne erkennbare Personen sind unproblematisch. Wenn Personen im Hintergrund einer Baustellendokumentation erkennbar sind, ist das in der Regel durch das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) gedeckt. Gezielte Porträtaufnahmen einzelner Personen erfordern eine Einwilligung.

Wann muss ich einen Datenschutzbeauftragten benennen?

Gemäß BDSG § 38 müssen Unternehmen einen Datenschutzbeauftragten benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei Bauunternehmen mit digitaler Zeiterfassung oder Tagesberichtssoftware ist diese Schwelle schnell erreicht.

Weiterlesen