Ist Cloud-Zeiterfassung grundsätzlich unsicher?

Nein. Seriöse Anbieter mit deutschen Servern, ISO 27001-Zertifizierung und sauberer Auftragsverarbeitung sind technisch gut abgesichert. Das Restrisiko bleibt: Daten liegen bei einem Dritten und Sie haben keine direkte Kontrolle. Ob das akzeptabel ist, hängt vom Schutzbedarf Ihrer Daten ab.

Was muss eine DSGVO-konforme Cloud-Zeiterfassung leisten?

Erstens: Sitz und Server in der EU oder Land mit Angemessenheitsbeschluss. Zweitens: Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Drittens: Verschlüsselung in Transit und at Rest. Viertens: Klare Löschfristen. Fünftens: Möglichkeit zum Datenexport. Sechstens: Meldewege bei Sicherheitsvorfällen. Wer all das hat, erfüllt die Mindeststandards.

Gibt es nachweislich ein Datenleck bei Crewmeister?

Bis zum Stand dieses Artikels ist kein bestätigter Datenleck-Vorfall bei Crewmeister öffentlich bekannt. Die Suchanfragen nach „crewmeister leak" zeigen aber, dass Nutzer das Thema durchspielen – und das ist eine vernünftige Risiko-Awareness, die jeder Geschäftsführer haben sollte. Wir behandeln Crewmeister in diesem Artikel als Beispiel für die Marktstruktur, nicht als Verdachtsfall.

Was passiert mit den Mitarbeiterdaten, wenn der Anbieter pleitegeht?

Im Insolvenzfall werden die Server typischerweise eingefroren oder gepfändet. Sie haben dann zunächst keinen Zugriff mehr auf Ihre eigenen Arbeitszeitdaten. Im AVV sollte geregelt sein, wie der Datenexport im Krisenfall sichergestellt wird – wenige Verträge regeln das wirklich gut. Eigene regelmäßige Exporte sind die einzige sichere Absicherung.

Wie merke ich überhaupt, ob mein Anbieter ein Leck hatte?

Eigentlich nur, wenn der Anbieter es Ihnen meldet – wozu er nach Art. 33 DSGVO innerhalb von 72 Stunden verpflichtet ist. Inoffiziell laufen Daten häufig vorher schon im Darknet auf. Tools wie Have-I-Been-Pwned können Mitarbeiter-Mailadressen prüfen, aber spezifische Anwendungs-Lecks tauchen dort selten auf. Vertrauen Sie nicht darauf, dass Sie es rechtzeitig erfahren.

Was ist die sicherste Alternative?

Eine selbst gehostete Lösung, idealerweise auf einem eigenen Server in einem deutschen Rechenzentrum oder im eigenen Büro. Sie behalten die volle Kontrolle, niemand kann sich einklinken, und Sie sind nicht abhängig vom Bestand eines Anbieters. Wir richten so etwas auf Wunsch ein – siehe unsere Service-Seite zur Zeiterfassung mit Barcode oder QR-Code.

Wie viele meiner Mitarbeiterdaten sind bei einem typischen Cloud-Anbieter gespeichert?

Mehr als Sie denken. Pro Mitarbeiter typischerweise: vollständiger Name, E-Mail, Position, Abteilung, Arbeitszeiten der letzten Jahre minutengenau, Standortdaten bei GPS-Erfassung, eventuell Krankheitstage, Urlaubsverlauf, Schichtpläne. Manche Anbieter speichern auch Bewegungsmuster zwischen Standorten oder den App-Verbrauch des Privattelefons.

Welche Rolle spielt der Betriebsrat?

Eine sehr wichtige. Die Einführung digitaler Zeiterfassung ist mitbestimmungspflichtig nach §87 Abs. 1 Nr. 6 BetrVG. Der Betriebsrat muss Auswahl des Anbieters, Art der erfassten Daten und Zugriffsrechte mitentscheiden. Wer den Betriebsrat übergeht, riskiert Unterlassungsklagen und teure Rückabwicklungen.

Ist Cloud-Zeiterfassung grundsätzlich unsicher?

Nein. Seriöse Anbieter mit deutschen Servern, ISO 27001-Zertifizierung und sauberer Auftragsverarbeitung sind technisch gut abgesichert. Das Restrisiko bleibt: Daten liegen bei einem Dritten und Sie haben keine direkte Kontrolle. Ob das akzeptabel ist, hängt vom Schutzbedarf Ihrer Daten ab.

Was muss eine DSGVO-konforme Cloud-Zeiterfassung leisten?

Erstens: Sitz und Server in der EU oder Land mit Angemessenheitsbeschluss. Zweitens: Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Drittens: Verschlüsselung in Transit und at Rest. Viertens: Klare Löschfristen. Fünftens: Möglichkeit zum Datenexport. Sechstens: Meldewege bei Sicherheitsvorfällen. Wer all das hat, erfüllt die Mindeststandards.

Gibt es nachweislich ein Datenleck bei Crewmeister?

Bis zum Stand dieses Artikels ist kein bestätigter Datenleck-Vorfall bei Crewmeister öffentlich bekannt. Die Suchanfragen nach „crewmeister leak" zeigen aber, dass Nutzer das Thema durchspielen – und das ist eine vernünftige Risiko-Awareness, die jeder Geschäftsführer haben sollte. Wir behandeln Crewmeister in diesem Artikel als Beispiel für die Marktstruktur, nicht als Verdachtsfall.

Was passiert mit den Mitarbeiterdaten, wenn der Anbieter pleitegeht?

Im Insolvenzfall werden die Server typischerweise eingefroren oder gepfändet. Sie haben dann zunächst keinen Zugriff mehr auf Ihre eigenen Arbeitszeitdaten. Im AVV sollte geregelt sein, wie der Datenexport im Krisenfall sichergestellt wird – wenige Verträge regeln das wirklich gut. Eigene regelmäßige Exporte sind die einzige sichere Absicherung.

Wie merke ich überhaupt, ob mein Anbieter ein Leck hatte?

Eigentlich nur, wenn der Anbieter es Ihnen meldet – wozu er nach Art. 33 DSGVO innerhalb von 72 Stunden verpflichtet ist. Inoffiziell laufen Daten häufig vorher schon im Darknet auf. Tools wie Have-I-Been-Pwned können Mitarbeiter-Mailadressen prüfen, aber spezifische Anwendungs-Lecks tauchen dort selten auf. Vertrauen Sie nicht darauf, dass Sie es rechtzeitig erfahren.

Was ist die sicherste Alternative?

Eine selbst gehostete Lösung, idealerweise auf einem eigenen Server in einem deutschen Rechenzentrum oder im eigenen Büro. Sie behalten die volle Kontrolle, niemand kann sich einklinken, und Sie sind nicht abhängig vom Bestand eines Anbieters. Wir richten so etwas auf Wunsch ein – siehe unsere Service-Seite zur Zeiterfassung mit Barcode oder QR-Code.

Wie viele meiner Mitarbeiterdaten sind bei einem typischen Cloud-Anbieter gespeichert?

Mehr als Sie denken. Pro Mitarbeiter typischerweise: vollständiger Name, E-Mail, Position, Abteilung, Arbeitszeiten der letzten Jahre minutengenau, Standortdaten bei GPS-Erfassung, eventuell Krankheitstage, Urlaubsverlauf, Schichtpläne. Manche Anbieter speichern auch Bewegungsmuster zwischen Standorten oder den App-Verbrauch des Privattelefons.

Welche Rolle spielt der Betriebsrat?

Eine sehr wichtige. Die Einführung digitaler Zeiterfassung ist mitbestimmungspflichtig nach §87 Abs. 1 Nr. 6 BetrVG. Der Betriebsrat muss Auswahl des Anbieters, Art der erfassten Daten und Zugriffsrechte mitentscheiden. Wer den Betriebsrat übergeht, riskiert Unterlassungsklagen und teure Rückabwicklungen.

Empfang Telefon, Chat, Termine, Rückruf

Dokumentation Angebote, Protokolle, Rechnungen

Betrieb Mail, Touren, Projekte, Recruiting

Branchen-Fachwissen SHK, Elektro, Maler

Sichtbarkeit Blog, Google-Profil, Audit

Für Ihre Branche KI-Lösungen für 8 Branchen

Open Source & KI Eigene Plattformen statt SaaS-Inseln

Verkündigung digital Werkzeuge für Gemeinden

Übersicht Alle 56 Produkte auf einer Seite

Alle KI-Lösungen →

Empfang

Julia White-Label (Telefon) FINN White-Label (Chat-Widget) Terminbot Rückrufzentrale WhatsApp-Business-Suite KI im Messenger (privat) Messenger-KI Business (Enterprise)

Dokumentation

Sprach-zu-Angebot Baustellen-Memo Foto-Bericht Rechnung-as-a-Service Mahnwesen-Bot KI-Diktat Angebots-Maschine (Handwerk)

Betrieb

Mail-Triage Tour-Optimierer Verbrauchs-Analyse Projekt-Planer Stellen-Assistent KI-Souffleuse Vertriebs-Pipeline (B2B) Recruiting-Assistent Onboarding-Autopilot Betriebsleiter-Dashboard

Branchen-Fachwissen

Fachassistent SHK Fachassistent Elektro Fachassistent Maler

Sichtbarkeit

Blog-Fabrik Google-Profil-Pfleger Digital-Check (49€)

Für Ihre Branche

KI für Handwerk KI für Arztpraxen Praxis-Copilot (Arztpraxen) KI für Kanzleien Abschluss-Automat (Steuer) KI für Autohäuser Werkstatt-Copilot (KFZ) KI für Hausverwaltungen Miet-Portal (Vermieter) KI für Einzelhandel KI für Gastronomie Hotel-Rezeption (Gastro) KI für Landwirtschaft Hof-Manager (Landwirtschaft) KI für Online-Shops KI für Vereine Verein-Vollversorgung Pflegedienst-Copilot (Pflege) Salon-Manager (Friseur) Makler-Suite (Immobilien) Tierarzt-Praxis Fahrschul-Assistent Energieberater-Toolkit Fitnessstudio-Verwaltung Allergen-Auskunft Buch- & Medienkatalog Zoll- & Importrechner

Open Source & KI

Firmen-KI statt ChatGPT-Chaos Browser-Agenten für Portale Service-Desk mit KI-Triage Nextcloud mit KI Meeting-Agent: Audio zu Ergebnis Vertrags- und PDF-Prüfung Zahlen-Copilot Agentenserver für KMU Telefon-KI ohne SaaS-Lock-in Intranet & Prozesshandbuch

Verkündigung digital

Alle 10 Werkzeuge (Übersicht) Predigt-Podcast Predigt-Archiv Bibelvers-Kacheln Andachts-Newsletter Trostruf (Telefon-Andacht) Bibelstudium-KI Hauskreis-Helfer Bibelvers-Shorts (Video) Missionars-Rundbrief Digitale Traktate (QR)

Übersicht

Alle 50 Produkte im Katalog KI-Infrastruktur (System) KI-Telefonassistent (Service-Seite) KI-Schulung (Team) Verkündigung digital (Gemeinden)

Windows & Systeme Updates, Probleme, Linux

Office & Kommunikation E-Mail, Teams, Podcast

Sicherheit & Daten Viren, Passwörter, Backup

KI & Tools ChatGPT, Claude, Automatisierung

Alle Software-Leistungen →

Windows & Systeme

Windows-Probleme Windows-Upgrade Browser-Probleme Browser-Erweiterungen Linux-Umstieg Linux-Support

Office & Kommunikation

E-Mail & Office Microsoft 365 Videokonferenzen Branchensoftware Podcast einrichten Zwischenablage & Bausteine

Sicherheit & Daten

Sicherheit & Viren Passwort-Management Datensicherung & Cloud pCloud Cloud-Speicher Datenrettung Computer-Reparatur Sicherheits-Check

KI & Tools

KI-Schulung KI-Tools im Überblick KI-Glossar (A–Z) ChatGPT Claude Google Gemini Microsoft Copilot Mistral AI Claude Cowork Claude for Chrome KI-Bilder erstellen KI-Videos erstellen KI-Automatisierung KI-Agenten KI-Telefonassistent Webseite mit KI bauen App mit KI bauen Lokale KI KI & DSGVO

Computer & Laptops PC, Mac, Kaufberatung

Mobilgeräte Smartphone, TV, Fotos

Peripherie & Netzwerk Drucker, WLAN, NAS

Smart Home & IoT Automation, PV, Homeoffice

Alle Hardware-Leistungen →

Computer & Laptops

PC & Laptop Neuen PC einrichten Apple, Mac & iPhone Kaufberatung

Mobilgeräte

Smartphone & Tablet Smart TV & Streaming Fotos & Dateien

Peripherie & Netzwerk

Drucker & Scanner WLAN & Internet NAS & Netzwerk

Smart Home & IoT

Smart Home PV-Anlage Homeoffice

Sofort-Hilfe Selbsttest, Notfall, Checklisten

Schulungen KI, PC, Senioren

Schutz & Vorsorge Passwörter, Jugendschutz, Nachlass

Elektro & Energie Beratung durch Elektromeister

Selbstversorger & Mikro-KI Mikro-Gärtnerei für Zuhause & Einrichtungen

Alle Privat-Leistungen →

Sofort-Hilfe

Fernwartung (TeamViewer & Co.) PC-Checkup (Selbsttest) IT-Notfall-Karte Windows-Frühjahrsputz

Schulungen

KI-Schulung & Einrichtung KI im Messenger (WhatsApp/Telegram/Signal) PC-Schulungen Senioren-Schulungen

Schutz & Vorsorge

Passwörter & Konten Jugendschutz Digitaler Nachlass Barrierefreiheit IT-Sicherheits-Check

Elektro & Energie

Elektro-Gutachten (Übersicht) Energy Sharing 2026 PV-Konzept-Prüfung Wallbox & Ladesäulen Streit mit dem Elektriker Bauabnahme Elektro Stromverbrauchs-Analyse Förderantrag prüfen

Selbstversorger & Mikro-KI

Selbstversorger-IT Mikro-Gärtnerei-KI (Hub) Stadtwohnung Selbstversorger-Garten Senioren & Pflege Praxis-Wartebereich Restaurant-Küche Bürofläche Schule & Bildung Heilpflanzen Forschung & Zucht

IT-Infrastruktur VPN, Netzwerk, DSGVO

Business-Software Buchhaltung, Kasse, Zeiterfassung

Web & Marketing Webseite, SEO, WordPress, Newsletter

Entwicklung & Beratung KI-Tools, Automation, Wartung, Beratung

Monitoring & IoT Sensoren, Dashboards, Alarmierung

Branchen-IT Spezialisierte IT für kleine Betriebe

Service & Recht Termin, Verträge, Karriere

Alle Unternehmens-Leistungen →

IT-Infrastruktur

Fernwartung (TeamViewer & Co.) Open-Source-Fernwartung Server-Fernwartung VPN & Fernzugriff NAS & Netzwerk Domain & E-Mail DSGVO-Technik IT-Check IT-Betreuung (Wartungsvertrag) Landwirtschaft

Business-Software

Messenger-KI Business (Enterprise) Buchhaltungssoftware Kassensystem & TSE Zeiterfassung Zeiterfassung mit QR-Code Dokumentenmanagement Terminbuchung Branchensoftware Mitarbeiter-App Teams-Alternative (DSGVO)

Web & Marketing

Webseite & Server WordPress-Pflege SEO & KI-Optimierung Technisches SEO-Audit Google-Indexierung prüfen Newsletter-Tool nach Mass

Entwicklung & Beratung

Individualsoftware DSGVO-KI-Automation Audio-Werbeplattform Individuelle KI-Tools Eigenes CRM Eigenes Rechnungssystem eBay-Auktionsjäger eBay-Auktionen KI-Agent Standort-Dossier Wetter-Ampel Reise-Briefing Speiseplan-Generator Presse-Spiegel Security-Dashboard Allergen-Check Buch-Katalog Zoll-Rechner Forschungs-Radar Ernährungscoach-App Streaming-Kompass Entwickler-Onboarding-Assistent Lieferketten-Radar Workflow-Automation Schnittstellen & Integration Software-Wartung Digitalisierungsberatung

Monitoring & IoT

spürwerk© (Sensor-Plattform) PV-Anlagen-Monitoring Energy Sharing digitalisieren Energy-Sharing-Checkliste Serverraum-Monitoring Kühlhaus-Monitoring Maschinen-Monitoring Gewächshaus-Monitoring

Branchen-IT

Gärtnerei-IT Hofladen digital Imkerei-IT Pferdebetrieb-IT Bio-Betrieb-Dokumentation Mitarbeiter-IT (Onboarding)

Service & Recht

Termin online buchen AV-Vertrag (Art. 28 DSGVO) Barrierefreiheitserklärung Empfehlungen & Partner Mitarbeiten (Karriere)

Voice & Telefonie Eigener KI-Telefonassistent im Dauerbetrieb

Automatisierung Selbstgebaute Prozesse

KI-Content Audio und Medien aus KI-Produktion

Übersicht Alle Eigenprojekte auf einer Seite

Alle Referenzen →

Voice & Telefonie

Julia – unser Voice Agent

Automatisierung

Rechnungs-Pipeline SEO-Dashboard

KI-Content

Podcast-Pipeline

Übersicht

Alle Referenzen anzeigen

Neu im Blog Die aktuellsten Artikel

Systeme & Netzwerk Windows, Linux, WLAN, Homeoffice

Software & Online KI, E-Mail, Web, Sicherheit

Geräte & Branchen Smartphone, Drucker, Agrar

Werkzeuge Öffentliche Prüfdienste mit Anleitung

Alle Artikel im Wissensbereich →

Neu im Blog

Browser-Shortcuts, die wirklich Zeit sparen — und ... KI-Token richtig nutzen: GPT, Claude und Gemini sinn... Lokale LLMs herunterladen: Für jede Hardware das pa... dpaste.com: Text per Link teilen Voicely 2.0 für 49 Dollar Lifetime

Systeme & Netzwerk

Windows & PC Linux Netzwerk & WLAN Homeoffice

Software & Online

KI & Datenschutz E-Mail & Office Webseite & Server WordPress Sicherheit

Geräte & Branchen

Smartphone Drucker Geräte & Mehr Agrar

Werkzeuge

Alle Werkzeuge E-Mail-Leak prüfen Website-Geschwindigkeit SSL-Zertifikat DNS & MX prüfen Sicherheits-Header Datei/Link auf Viren Website-Sicherheits-Check Browser-Kompatibilität

Mitarbeiter erfasst Zeit per Cloud-App, Server im Hintergrund

Sicherheit & Datenschutz

Cloud-Zeiterfassung und Datenschutz – welche Risiken bei einem Datenleck wirklich bestehen

12 Min Lesezeit · 27. April 2026

Die Suchanfrage „crewmeister leak" wird in Deutschland inzwischen mehrfach täglich bei Google eingegeben. Ein bestätigter Datenleck-Vorfall beim Marktführer für Zeiterfassung in kleinen Betrieben ist öffentlich nicht bekannt – aber die Tatsache, dass Nutzer aktiv danach suchen, zeigt eine berechtigte Frage: Was passiert eigentlich, wenn die Cloud-Lösung, der wir die Arbeitszeiten unserer gesamten Belegschaft anvertrauen, gehackt wird?

Dieser Artikel ist keine Anklage gegen einen bestimmten Anbieter. Er ist ein nüchterner Blick darauf, welche Daten in einer typischen Cloud-Zeiterfassung liegen, welche realen Risiken existieren, was die DSGVO konkret verlangt – und welche Alternativen jede Geschäftsführung kennen sollte, bevor sie sich für oder gegen eine Cloud-Lösung entscheidet.

Was in einer typischen Cloud-Zeiterfassung wirklich gespeichert ist

Die Liste ist länger, als die meisten Geschäftsführer beim Vertragsabschluss überschauen. Pro Mitarbeiter speichern Anbieter wie Crewmeister, Personio, TimeTac oder Clockodo:

Vollständiger Name, häufig auch Geburtsdatum
Berufliche und manchmal private E-Mail-Adresse
Position, Abteilung, Vorgesetzter
Standort der Niederlassung, manchmal GPS-Daten der Stempelvorgänge
Arbeitsbeginn und -ende auf die Minute genau, oft mehrere Jahre rückblickend
Pausen, Überstunden, Schichten, Bereitschaftszeiten
Krankmeldungen mit Datum (selten mit Diagnose, aber das Krank-Muster reicht für Profile)
Urlaubsanträge und Genehmigungen, inklusive Ablehnungsgründen
Bei manchen Anbietern: zugewiesene Projekte und Kunden
Bei App-Nutzung auf privatem Smartphone: zumindest die Geräte-ID, je nach Berechtigung auch die Telefonnummer

Wenn ein Unternehmen mit 50 Mitarbeitern fünf Jahre lang Crewmeister oder eine vergleichbare Lösung nutzt, liegen am Ende rund 600.000 einzelne Zeitstempel beim Anbieter. Verknüpft mit Namen, Positionen, Krankheitstagen und Standorten ergibt das ein detailliertes Profil jedes einzelnen Mitarbeiters – Heimarbeitstage, regelmäßige Arzttermine, ungewöhnliche Spätschichten, alles dokumentiert.

Diese Daten sind aus drei Gründen wertvoll für Angreifer: Erstens als Identitätsdiebstahl-Material, weil sie Vornamen, Nachnamen und Mailadressen mit beruflichen Rollen verknüpfen. Zweitens als Erpressungs-Material gegen das Unternehmen selbst – ein veröffentlichter Krankenstands-Verlauf kann zu Klagen wegen Persönlichkeitsrechtsverletzung führen. Drittens als Vorfeld-Information für Spear-Phishing: Wer weiß, dass Frau Müller Mittwochs Homeoffice macht und dabei keine Stempelpausen einlegt, kann sehr glaubwürdig im Namen ihres Vorgesetzten anrufen.

Fünf reale Risiko-Szenarien, die jede Geschäftsführung kennen sollte

Wir listen hier nicht hypothetische Worst-Case-Phantasien, sondern Szenarien, die in den letzten Jahren bei vergleichbaren SaaS-Anbietern tatsächlich aufgetreten sind – nicht zwingend bei Zeiterfassungs-Software, aber bei strukturell ähnlichen Cloud-Diensten.

Account-Übernahme durch geleakte Passwörter

Mitarbeiter neigen dazu, dieselben Passwörter für berufliche und private Dienste zu verwenden. Wenn das Privatpasswort eines Mitarbeiters in einer der großen Credential-Sammlungen auftaucht – allein 2026 wurden mehrere Milliarden E-Mail-Passwort-Kombinationen gehandelt – versuchen Angreifer es automatisch bei Hunderten von SaaS-Diensten. Hat der Mitarbeiter dasselbe Passwort für die Zeiterfassung benutzt, ist das Konto offen.

Folgen: Der Angreifer kann Stempelzeiten manipulieren, Daten kopieren, Krankmeldungen einreichen oder, wenn das Konto Adminrechte hat, die Zeiterfassung des gesamten Betriebs abziehen. Schutz: Zwei-Faktor-Authentifizierung als verpflichtende Einstellung – aber bei vielen Anbietern ist das in den günstigen Tarifen gar nicht aktivierbar.

Insolvenz oder Verkauf des Anbieters

Im SaaS-Markt der letzten zehn Jahre haben mehrere bekannte Anbieter den Besitzer gewechselt – manchmal an Konzerne aus den USA oder Asien. Aus DSGVO-Sicht ist das ein Drittlandtransfer, der eigentlich neue Garantien erfordert. In der Praxis informieren die Anbieter ihre Kunden meist nur in einem unscheinbaren E-Mail-Update, und die wenigsten Kunden lesen die geänderten AGB im Detail.

Bei Insolvenz wird die Server-Infrastruktur Teil der Insolvenzmasse. Sie als Kunde haben theoretisch Anspruch auf Datenexport, praktisch hängt das davon ab, ob der Insolvenzverwalter die Server am Laufen hält. Es hat Fälle gegeben, in denen Kunden nicht mehr an ihre eigenen Daten kamen, weil die Hosting-Rechnung nicht bezahlt wurde und der Hoster vom Netz nahm.

Kompromittierung über Drittanbieter-Schnittstellen

Moderne Zeiterfassungs-Anbieter integrieren sich in DATEV, Personio, Microsoft 365, Slack, Lohnabrechnungs-Systeme. Jede Integration ist ein potentieller Einfallsweg. Im April 2026 wurde bei Rockstar Games genau dieser Mechanismus ausgenutzt: Nicht das Unternehmen selbst wurde gehackt, sondern ein Drittanbieter (Anodot) – über den dann Zugriff auf interne Snowflake-Datenbanken möglich wurde.

Bei Zeiterfassung passiert das selten so spektakulär, aber die Logik ist dieselbe: Sie müssen nicht nur dem Hauptanbieter trauen, sondern auch jedem Subdienstleister, der von ihm angebunden ist. Im AVV stehen die Subdienstleister – aber wer liest die Liste regelmäßig durch und prüft, was dort hinzugekommen ist?

Innentäter: ehemaliger Mitarbeiter mit fortgesetztem Zugriff

Das ist der unspektakulärste, aber häufigste Vorfall. Ein Mitarbeiter mit Adminrechten verlässt das Unternehmen. Sein Konto wird im IT-System deaktiviert – aber bei der Cloud-Zeiterfassung vergisst die Geschäftsführung, den Account zu deaktivieren, weil das in einem anderen Werkzeug läuft. Drei Monate später erinnert sich der Ex-Mitarbeiter an den noch funktionierenden Login und exportiert die kompletten Personaldaten der Belegschaft – sei es aus Neugier, sei es als Verhandlungsmaterial.

Studien zeigen, dass solche „verwaisten" Cloud-Accounts in vier von zehn KMU vorkommen. Schutz: ein Offboarding-Prozess, der ALLE Cloud-Dienste systematisch durchgeht, plus regelmäßige Audits.

Offene Datenbank durch Konfigurationsfehler

Bei einigen großen Datenlecks der letzten Jahre – Cybernews dokumentiert wöchentlich neue Fälle – war die Ursache nicht ein Hackerangriff, sondern eine schlecht konfigurierte Datenbank. Eine MongoDB ohne Passwort, ein S3-Bucket auf öffentlich, ein Backup auf einem ungeschützten FTP-Server. Sicherheitsforscher scannen das Internet ständig nach solchen Fehlern und veröffentlichen die Funde.

Sie als Kunde merken davon nichts. Sie haben keine Möglichkeit zu prüfen, ob Ihr Anbieter solche Fehler vermeidet. Sie sind komplett auf das Vertrauen angewiesen, dass ISO 27001 oder TÜV-Zertifizierung wirkt – und auch dort gibt es Fälle, in denen die Zertifizierung erteilt wurde und das Leck trotzdem passiert ist.

Was die DSGVO konkret verlangt

Wenn Sie Mitarbeiterdaten an einen externen Dienstleister geben – und Cloud-Zeiterfassung ist genau das – müssen Sie als Verantwortlicher im Sinne der DSGVO sicherstellen, dass der Dienstleister angemessene Schutzmaßnahmen trifft. Das ist nicht optional und nicht delegierbar. Konkret:

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO. Ohne diesen Vertrag ist die Datenübergabe an den Dienstleister rechtswidrig. Der Vertrag muss schriftlich vorliegen, Subdienstleister auflisten, technische und organisatorische Maßnahmen beschreiben und im Schadensfall klare Haftungsregeln enthalten. Wir haben in Audits öfter gesehen, dass Geschäftsführer beim Vertragsabschluss einfach „Häkchen bei AGB" gemacht haben und keinen separaten AVV unterzeichnet haben – das ist ein klarer DSGVO-Verstoß.

Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO. Zeiterfassung mit GPS-Tracking gilt nach den Listen der Aufsichtsbehörden als „voraussichtlich hohes Risiko" und löst die DSFA-Pflicht aus. Auch ohne GPS sollten Sie eine DSFA durchführen, wenn Sie systematisch Verhaltensmuster Ihrer Mitarbeiter erfassen – und das tun Stempelzeiten unweigerlich.

Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Jede Cloud-Zeiterfassung muss als eigene Verarbeitung dort eingetragen sein, mit Zweck, Datenkategorien, Empfängern, Löschfristen und technisch-organisatorischen Maßnahmen. Bei der Aufsichtsbehörde wird das im Prüfungsfall zuerst angefordert.

Mitbestimmung des Betriebsrats nach §87 BetrVG. In Unternehmen mit Betriebsrat ist die Einführung digitaler Zeiterfassung mitbestimmungspflichtig. Ohne Betriebsvereinbarung darf das System nicht eingeführt werden. Die Vereinbarung sollte auch regeln, welche Daten zugänglich sind – und zwar nicht nur für die Geschäftsführung, sondern auch im Krisenfall für den Betriebsrat selbst.

Auskunfts- und Löschrechte der Mitarbeiter. Jeder Mitarbeiter hat nach Art. 15 DSGVO Anspruch auf Auskunft, welche Daten über ihn gespeichert sind. Nach Art. 17 hat er unter bestimmten Umständen Anspruch auf Löschung. Beide Prozesse müssen in der Cloud-Software abbildbar sein – wenn Sie das nicht prüfen können, weil der Anbieter keinen sauberen Export liefert, haben Sie ein DSGVO-Problem.

Marktüberblick: die wichtigsten Anbieter im Vergleich

Wir geben hier eine sachliche Einordnung – ohne Wertung – der bekanntesten deutschsprachigen Cloud-Zeiterfassungs-Anbieter. Die Angaben stammen aus den öffentlichen Datenschutzerklärungen und Produktseiten der jeweiligen Anbieter. Bitte verifizieren Sie die Angaben vor Vertragsabschluss eigenständig – Anbieter ändern Konditionen häufig.

Anbieter	Server-Standort	Zielgruppe	Besonderheiten
Crewmeister	Deutschland	1–50 Mitarbeiter	Marktführer im KMU-Segment, deutsche Server, einfacher Funktionsumfang
Personio	EU (DE/IE)	20–500 Mitarbeiter	HR-All-in-One, Zeiterfassung als Modul, börsennotiert
TimeTac	Österreich/EU	5–500 Mitarbeiter	Modular, GPS-Tracking, Projekt-Zeiterfassung im Fokus
Clockodo	Deutschland	1–100 Mitarbeiter	Schwerpunkt Projekt- und Kundenabrechnung
Papershift	Deutschland	10–250 Mitarbeiter	Schichtplanung im Fokus, Zeiterfassung integriert
HRworks	Deutschland	10–500 Mitarbeiter	Mittelstands-HR-Suite, deutsche Cloud
ZEP	Deutschland	5–500 Mitarbeiter	Projekt-Zeiterfassung, lange am Markt
Personio Time	EU	50+ Mitarbeiter	Tochterprodukt von Personio

Was an dieser Tabelle auffällt: Es gibt kaum noch Anbieter mit Sitz und Servern komplett außerhalb der EU im deutschsprachigen Markt. Das ist eine Errungenschaft der DSGVO – Anbieter, die nicht in der EU hosten, sind aus dem Markt für Mitarbeiterdaten weitgehend verschwunden. Trotzdem bleibt die strukturelle Frage: Auch ein deutscher Server kann gehackt werden. Auch ein ISO-zertifizierter Betrieb hat Innentäter. Die Cloud verschiebt das Risiko auf einen Dritten, sie eliminiert es nicht.

Die Alternative: selbst gehostete Lösung im eigenen Haus

Wenn Ihr Schutzbedarf hoch ist – aus rechtlichen Gründen, wegen Branchenvorgaben oder einfach aus Vorsicht – gibt es eine Alternative, die zu Unrecht als „nicht zeitgemäß" verpönt wird: eine selbst gehostete Zeiterfassung.

Das bedeutet konkret: Eine Software wie Kimai, Mocoapp, OpenProject Time-Tracking oder eine Eigenentwicklung läuft auf einem Server, der entweder bei Ihnen im Büro steht oder bei einem deutschen Hoster Ihrer Wahl. Die Daten liegen physisch bei Ihnen. Wenn ein Mitarbeiter ausscheidet, deaktivieren Sie sein Konto – fertig. Wenn Sie ein Backup brauchen, kopieren Sie die Datenbank auf ein USB-Laufwerk im Tresor. Wenn Sie das System ausschalten möchten, ziehen Sie den Stecker.

Die Argumente gegen Self-Hosting sind hauptsächlich:

Wartungsaufwand: Software-Updates, Sicherheitspatches, Backup-Pflege – das geschieht in der Cloud automatisch, beim Self-Hosting muss es jemand machen. Bei einem Wartungsvertrag mit einem IT-Dienstleister kostet das zwischen 30 und 120 Euro im Monat – und ist damit oft günstiger als eine Cloud-Lizenz für 50 Mitarbeiter.
Anfangsinvestition: Server, Einrichtung, Schulung kosten initial 1.000 bis 5.000 Euro. Im Vergleich zu mehreren Hundert Euro Cloud-Gebühr pro Monat amortisiert sich das innerhalb weniger Jahre.
Mobile Erfassung: Wenn Mitarbeiter unterwegs stempeln müssen, braucht der eigene Server eine sichere öffentliche Erreichbarkeit – das geht über VPN, einen Reverse-Proxy oder eine eingeschränkte Web-App. Wir richten so etwas regelmäßig ein.

Das Argument für Self-Hosting in einem Satz: Sie behalten die Kontrolle über die Daten Ihrer Belegschaft. Niemand außer Ihnen kann sie kopieren, einsehen oder verlieren. In einem Markt, in dem fast wöchentlich neue Datenlecks gemeldet werden, ist das ein wachsender Wettbewerbsvorteil – und ein Argument für die Mitarbeitergewinnung.

Wir richten selbst gehostete Zeiterfassung ein

Auf Ihrem Server, in Ihrem Rechenzentrum oder bei einem deutschen Hoster Ihrer Wahl. Mit Smartphone-Stempelung über QR-Code oder Barcode. Ohne fremden Online-Speicher. Einmalige Investition, keine monatlichen Cloud-Gebühren.

Service ansehen

Was Sie heute Abend noch überprüfen sollten

Falls Sie aktuell eine Cloud-Zeiterfassung nutzen, hier die fünf Punkte, die Sie binnen 30 Minuten klären können:

1. AVV-Status: Liegt ein unterschriebener Auftragsverarbeitungsvertrag vor? Falls ja: Wer hat ihn unterschrieben, wann, mit welchen Subdienstleistern? Falls nein: Sofort beim Anbieter anfordern. Ohne AVV ist die Verarbeitung rechtswidrig.

2. Aktive Konten: Loggen Sie sich als Administrator ein und schauen Sie sich die Liste aller Benutzerkonten an. Wie viele davon gehören zu Mitarbeitern, die längst ausgeschieden sind? Wir wetten: mindestens drei. Deaktivieren Sie sie.

3. Zwei-Faktor-Authentifizierung: Ist 2FA für alle Adminkonten Pflicht? Falls Ihr Tarif das nicht bietet: Upgrade prüfen oder Anbieter wechseln. Ein Adminkonto ohne 2FA ist eine offene Tür.

4. Datenexport-Test: Versuchen Sie heute einen vollständigen Export aller Daten der letzten zwei Jahre. Wie lange dauert es, in welchem Format kommt es heraus, sind alle Daten enthalten? Wenn der Export nicht in unter einer Stunde komplett zur Verfügung steht, sind Sie im Krisenfall (Anbieter-Ausfall, Wechsel) handlungsunfähig.

5. Backup-Routine: Exportieren Sie ab heute monatlich alle Daten und legen Sie sie verschlüsselt auf einem eigenen Datenträger ab. Das ist Ihre einzige Versicherung gegen Anbieter-Insolvenz, langfristige Server-Ausfälle und Account-Sperrungen durch den Anbieter.

Was tun, wenn Sie konkret einen Verdacht haben

Sollten Sie Anzeichen sehen, dass mit Ihrer Cloud-Zeiterfassung etwas nicht stimmt – ungewöhnliche Login-Mails, Mitarbeiter berichten von Fremdzugriffen, der Anbieter macht eine vage Sicherheitsmitteilung – handeln Sie schnell:

Erstens: Vollständigen Datenexport ziehen, solange das System noch erreichbar ist. Zweitens: Alle Adminpasswörter ändern, möglichst mit 2FA-Aktivierung. Drittens: Anbieter schriftlich um Stellungnahme nach Art. 33 DSGVO bitten – er muss Sie innerhalb von 72 Stunden über jeden meldepflichtigen Vorfall informieren. Viertens: Eigene Datenschutz-Aufsichtsbehörde informieren, wenn der Verdacht erhärtet ist – das schützt Sie selbst vor Vorwürfen, gegen die Meldepflicht verstoßen zu haben. Fünftens: Mitarbeiter informieren, sobald die Lage geklärt ist – das verlangt Art. 34 DSGVO bei hohem Risiko.

Wir unterstützen bei allen fünf Schritten und übernehmen auf Wunsch die Kommunikation mit dem Anbieter. Ein Vorfall ist kein Beinbruch, wenn Sie professionell darauf reagieren – ein vertuschter Vorfall hingegen kostet Sie das Vertrauen Ihrer Belegschaft und mögliche Bußgelder.

Fazit

Cloud-Zeiterfassung ist nicht per se schlecht. Für viele kleine Betriebe ist sie der einzig praktikable Weg, das EuGH-Urteil von 2019 und das BAG-Urteil von 2022 zur Pflicht-Zeiterfassung umzusetzen. Aber sie verlagert die Verantwortung für sehr sensible Mitarbeiterdaten auf einen Dritten – und macht Sie als Unternehmen abhängig vom Bestand und der Sorgfalt dieses Dritten.

Wer das nicht möchte, hat zwei klare Wege. Erstens: Cloud-Anbieter sehr sorgfältig auswählen, AVV pingelig prüfen, eigenständige Backups als Standard. Zweitens: Self-Hosting als ernsthafte Alternative betrachten, vor allem wenn der Schutzbedarf hoch ist oder Sie ohnehin schon eigene IT-Infrastruktur betreiben.

Die Suche nach „crewmeister leak" zeigt, dass diese Frage in deutschen Geschäftsführungs-Köpfen längst angekommen ist. Wir empfehlen, sie nicht erst dann zu beantworten, wenn der Vorfall bereits passiert ist.

Weiterlesen — verwandte Artikel

KI-Wissen