7 Min.
Time Doctor, Hubstaff & Co. in Deutschland einführen: Was DSGVO und Betriebsrat wirklich erlauben

Time Doctor, Hubstaff & Co. in Deutschland einführen: Was DSGVO und Betriebsrat wirklich erlauben

Jens Hagel
Jens Hagel in IT-Sicherheit

Inhalt in Kürze

  • Time Doctor, Hubstaff, Teramind und ActivTrak gewinnen im deutschen Mittelstand an Boden – obwohl die meisten Standard-Konfigurationen nach deutschem Arbeitsrecht nicht rechtmäßig sind.
  • Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 BetrVG ein echtes Mitbestimmungsrecht. Ohne Betriebsvereinbarung kein legaler Einsatz.
  • Das Bundesarbeitsgericht verlangt für Überwachung einen konkreten Anlass oder eine rechtssichere Zweckbindung. Lückenlose Mausbewegungs- und Keystroke-Aufzeichnung ist faktisch kaum darstellbar.
  • Alternativen für KMU: Arbeitszeiterfassung ohne Monitoring (Clockodo, Timly), Projekt-Tracking (Harvest, Toggl) oder – der ehrlichste Weg – klare Führung statt Überwachung.

Homeoffice macht Geschäftsführern Bauchschmerzen. „Arbeiten die Leute eigentlich, oder schauen sie Netflix?" ist keine rhetorische Frage mehr, sondern ein echter Pain Point – besonders in Branchen, in denen Produktivität schwer messbar ist. Parallel tauchen in jedem Vertriebs-Webinar Tools wie Time Doctor, Hubstaff oder Teramind auf, die genau dieses Problem lösen wollen: Mausaktivität, Tastenanschläge, Screenshots, Website-Zeiten. Die n-tv-Recherche von 2024 zeigt: Die Software gewinnt in Deutschland schleichend Marktanteile. Nur: In der Standard-Konfiguration ist der Einsatz hierzulande fast immer rechtswidrig.

Was Time Doctor, Hubstaff und Teramind technisch tun

Diese Tools sind in den USA entwickelt, wo das Verhältnis zwischen Arbeitgeber und Arbeitnehmer rechtlich deutlich anders geregelt ist. Die typische Funktionspalette:

  • Aktivitätstracking. Mausbewegungen, Tastatur-Anschläge pro Minute, Leerlauf-Zeiten.
  • Screenshots. Alle 10 Minuten ein zufälliger Screenshot vom Bildschirm des Mitarbeitenden.
  • App- und Website-Nutzung. Welche Programme wann wie lange offen waren, welche URLs aufgerufen wurden.
  • Anwesenheits-Scoring. Ein „Produktivitäts-Score" pro Mitarbeiter, sichtbar für Vorgesetzte.
  • GPS-Tracking (Mobile-Varianten). Bei Außendienst-Modulen.

Für den US-Arbeitgeber ist das bei „Employment at will" und weitgehend fehlendem Kündigungsschutz unproblematisch. In Deutschland kollidiert jedes einzelne dieser Features mit mehreren Rechtsebenen gleichzeitig: DSGVO, BDSG, BetrVG, Grundgesetz (allgemeines Persönlichkeitsrecht), BAG-Rechtsprechung. Die Mitbestimmungs-Studie der Hans-Böckler-Stiftung hält explizit fest, dass diese Tools „in Deutschland offenbar an Boden gewinnen" – und warnt vor dem Wildwuchs.

Die Rechtslage in drei Schichten

DSGVO und BDSG

Artikel 88 DSGVO überlässt den Beschäftigtendatenschutz weitgehend dem nationalen Recht. Für Deutschland ist das § 26 BDSG: Datenverarbeitung ist zulässig, wenn sie zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. „Erforderlich" ist ein enger Begriff. Die Aufsichtsbehörden legen ihn restriktiv aus: Eine lückenlose Mausaktivitäts-Aufzeichnung ist zur Durchführung des Arbeitsverhältnisses nicht erforderlich. Eine Anwesenheitserfassung sehr wohl.

Arbeitsrecht und Mitbestimmung

§ 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein echtes Mitbestimmungsrecht bei allen technischen Einrichtungen, „die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen". Entscheidend: „dazu bestimmt" – es reicht, dass die Software es könnte. Keystroke-Logging erfüllt das Kriterium immer. Ohne Betriebsvereinbarung: kein legaler Einsatz. Das Buse-Heberer-Blog fasst die Rechtsfolgen sauber zusammen.

BAG-Rechtsprechung

Das Bundesarbeitsgericht hat in zwei Leitentscheidungen (BAG 2 AZR 848/15 und 2 AZR 153/11) klargestellt, dass verdeckte Überwachung nur bei konkretem Verdacht auf eine schwere Pflichtverletzung zulässig ist. Offene Dauerüberwachung ohne Anlass ist unverhältnismäßig und damit rechtswidrig. Das überträgt sich unmittelbar auf Software-Monitoring – die Argumentation ändert sich nicht, nur das Medium.

Warnung:

Wir hören gelegentlich das Argument „Aber die Mitarbeitenden haben doch eingewilligt". Einwilligungen im Arbeitsverhältnis sind wegen des Abhängigkeitsverhältnisses nach § 26 Abs. 2 BDSG nur selten wirksam. Die Aufsichtsbehörden werten sie regelmäßig als unfreiwillig ab – schon weil die Alternative faktisch Kündigung wäre.

Wenn mich ein Geschäftsführer fragt, ob er Time Doctor einführen kann, stelle ich immer zuerst eine andere Frage: Was genau wollen Sie damit erreichen? In neun von zehn Fällen kommt die Antwort, dass jemandem nicht vertraut wird. Und dann reden wir nicht über Software, sondern über Führung.

Jens Hagel, Geschäftsführer hagel IT-Services GmbH Hamburg Jens HagelGeschäftsführer, hagel IT-Services GmbH

Die vier DSGVO-kritischen Features im Check

4 %
max. DSGVO-Bußgeld vom Jahresumsatz
§ 87
BetrVG – Mitbestimmungspflicht
2022
BAG-Urteil zur Zeiterfassungspflicht
0
Keystroke-Logger DSGVO-kompatibel (Standard)
Feature Rechtliche Einordnung Realistische Zulässigkeit
Mausaktivität / Keystrokes Verhaltens- und Leistungsüberwachung nach § 87 BetrVG Nur mit enger Betriebsvereinbarung, anonymisiert, begrenzter Zeitraum
Screenshots Eingriff ins Persönlichkeitsrecht, DSGVO-relevant Praktisch nicht rechtmäßig zu betreiben
Website-Nutzung Kann personenbezogen sein (Gesundheit, Religion) Nur als pseudonymisierte Summenstatistik
GPS-Tracking (Außendienst) Zulässig bei berechtigtem Interesse + Information Muss während Pausen abschaltbar sein

Die pragmatische Alternative: Was wir Kunden in Hamburg empfehlen

Für die Anwendungsfälle, die wir bei unseren Kunden sehen, gibt es meist bessere Werkzeuge – rechtlich sauber und kulturell verträglich:

  1. Arbeitszeiterfassung (BAG-Pflicht). Seit dem Urteil vom September 2022 müssen Arbeitgeber Arbeitszeiten erfassen. Clockodo, Timly, Microsoft Shifts oder die integrierte Entra-ID-Zeitbuchung reichen – ohne Monitoring.
  2. Projekt-Tracking. Harvest, Toggl, TimeButler oder Microsoft Project. Der Mitarbeiter bucht selbst, wie lange er an welchem Projekt gearbeitet hat. Für Kundenabrechnung und Controlling meist genau das Richtige.
  3. Produktivitätsmessung über Ergebnisse. Statt Mausbewegungen zu tracken: OKRs, klare Deliverables, wöchentliche 1:1-Gespräche. Im Homeoffice wichtiger denn je.
  4. Security-Monitoring statt Produktivitäts-Monitoring. Microsoft Defender for Endpoint, Intune-Compliance, Entra-Anmelde-Logs – das sind legitime Sicherheitswerkzeuge, keine Leistungskontrolle.

Unser vorheriger IT-Dienstleister wollte uns ein Monitoring-Tool verkaufen, damit wir sehen, wer im Homeoffice wirklich arbeitet. hagel IT hat uns erklärt, dass das bei uns rechtlich schwierig wird und dass wir eher das Führungsthema angehen müssen. Das war ehrlich und hat uns vor einem Debakel mit dem Betriebsrat bewahrt.

Marcus Wendt · Geschäftsführer, Medizintechnik, 35 Mitarbeiter

Wenn es wirklich sein muss: Die 6-Schritte-Einführung

Es gibt seltene Fälle, in denen Monitoring gerechtfertigt sein kann – etwa im Umgang mit streng regulierten Daten (Gesundheitswesen, Banking) oder bei Verdacht auf konkrete Pflichtverletzungen. Wenn Ihr Fall tatsächlich in diese Kategorie fällt, sollten Sie die folgende Reihenfolge einhalten:

  • 1. Zweck dokumentieren. Schriftlich festhalten, welches konkrete Problem gelöst werden soll. Kein „Wir haben den Eindruck, dass…". Ein dokumentierter Anlass ist Pflicht.
  • 2. Datenschutz-Folgenabschätzung (DSFA) durchführen. Monitoring-Software unterliegt der DSFA-Pflicht nach Art. 35 DSGVO.
  • 3. Betriebsrat einbeziehen. Falls vorhanden, mit vollständiger Information in Verhandlungen über eine Betriebsvereinbarung gehen.
  • 4. Anonymisierung und Aggregation. Keine Einzelauswertungen, nur Summenstatistiken.
  • 5. Befristung. Mindestens initial auf sechs Monate befristen, danach Evaluation.
  • 6. Mitarbeiterinformation. Transparente, schriftliche Kommunikation vor Einführung.
Tipp:

Bei Unternehmen mit Sitz in Hamburg ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) der richtige Ansprechpartner für Abstimmungen. Eine Vorab-Konsultation nach Art. 36 DSGVO schützt vor späteren Bußgeldüberraschungen – und kostet nichts außer Zeit.

Unser Fazit für den Mittelstand

Time Doctor, Hubstaff und Teramind sind Tools, die für US-amerikanische Arbeitskulturen entworfen wurden. Sie lassen sich in Deutschland nicht einfach „einschalten". Als IT-Dienstleister in Hamburg mit Kunden in Bremen, Kiel und Lübeck sehen wir regelmäßig, wie solche Tools auf Management-Ebene diskutiert und dann – oft nach einem Betriebsrats-Gespräch – wieder kassiert werden. Die Betriebsvereinbarung, die eine Einführung rechtfertigen würde, kostet mehr Zeit und Vertrauen, als sie bringt.

Das Wichtigste: Mitarbeiterüberwachung ist in Deutschland ein enges Rechtsfeld. Vor jedem Projekt gehört die Frage „Was genau wollen wir erreichen?" – und meist gibt es eine einfachere, rechtlich saubere Lösung. Arbeitszeiterfassung, Projekt-Tracking und gute Führung schlagen Mausklick-Monitoring fast immer.

Wenn Sie bei der Entscheidung Unterstützung brauchen – sei es beim Abwägen der Rechtslage, bei der Auswahl DSGVO-konformer Zeiterfassung oder bei der NIS2-konformen IT-Landschaft insgesamt –, dann lassen Sie uns reden. Wir haben in über 20 Jahren eine klare Meinung dazu, was funktioniert und was nicht.

Monitoring-Entscheidung mit Experten durchspielen.

30 Minuten Erstgespräch. Kostenlos. Wir helfen Ihnen, die richtigen Fragen zu stellen – bevor Sie Geld und Vertrauen in ein Tool stecken, das später nicht eingesetzt werden darf.

Termin buchen →
Jens Hagel
Gründer & Geschäftsführer, hagel IT-Services GmbH

Seit 2004 begleite ich Hamburger Unternehmen bei der IT-Modernisierung. Microsoft Solutions Partner, WatchGuard Gold Partner, ausgezeichnet als Deutschlands bester IT-Dienstleister 2026 (Brand eins/Statista). Wenn Sie IT-Fragen haben, bin ich direkt erreichbar.

Thorsten Eckel

„Mit Hagel IT haben wir einen erfahrenen Partner, auf den wir uns jederzeit zu 100 % verlassen können.“

Thorsten Eckel
Geschäftsführer · Hanse Service
Deutschlands beste IT-Dienstleister 2026 — brand eins / Statista
Bester IT-Dienstleister
2026 — brand eins / Statista
IT-Sicherheit für Kleinunternehmen Hamburg: Schluss mit „Bastel-Lösungen“
Fallstudie · Software
IT-Sicherheit für Kleinunternehmen Hamburg: Schluss mit „Bastel-Lösungen“
Ausgezeichnete Bewertung
Basierend auf 46 Bewertungen

„Wir arbeiten seit einiger Zeit mit hagel IT zusammen und sind absolut zufrieden. Das Team ist kompetent, freundlich und immer schnell zur Stelle, wenn Hilfe gebraucht wird. Besonders schätzen wir die individuelle Beratung, den zuverlässigen Support und die modernen IT-Lösungen, die perfekt auf unsere Bedürfnisse abgestimmt sind. Ein rundum professioneller Partner, den wir uneingeschränkt weiterempfehlen können!"

Robin Koppelmann
Sicherheit

Sicher — ohne dass Sie Experte sein müssen.

Verschlüsselung, Backup und Zwei-Faktor laufen im Hintergrund und werden monatlich geprüft. Fragt jemand nach — Versicherung, Kunde oder Behörde — haben Sie den Nachweis auf Knopfdruck.

Kjello · Sicherheits-Report
Geprüft & lückenlos dokumentiert
Sicherheits-Vertrauensanker im Portal: Audit-Trail lückenlos geprüft und Zugriffs-Delegation aktiv — beide grün bestätigt
Ergebnis
Nachweis auf Knopfdruck
Was Sie tun
Nichts
Was wir & die Automatik tun
Einrichten · überwachen · monatlich prüfen · nachweisen
Früher — Sicherheit auf Hoffnung
  • Hoffen, dass nichts passiert
  • Backup nie wirklich getestet
  • Kein Nachweis, wenn jemand fragt
  • Blindflug bei Verschlüsselung und Co.
Ein Risiko, das keiner sehen will

„Muss ich Security verstehen?“ — Nein. Sie müssen nichts einstellen und nichts überwachen. Das ist unser Job — Sie bekommen nur den grünen Haken.

Häufig gestellte Fragen

Grundsätzlich ja, aber nur unter strengen Voraussetzungen. Eine dauerhafte, lückenlose Überwachung ist nach deutschem Arbeitsrecht unzulässig – auch mit Einwilligung der Mitarbeitenden. Zulässig sind nur punktuelle, zweckgebundene Erhebungen bei konkretem Anlass oder im Rahmen einer Betriebsvereinbarung nach § 87 Abs. 1 Nr. 6 BetrVG. Die Monitoring-Komponenten von Time Doctor (Mausaktivität, Bildschirmaufnahmen, Keystrokes) sind in der Standard-Konfiguration nach DSGVO kaum rechtmäßig zu betreiben.

Das BAG hat mehrfach klargestellt: Verdeckte Überwachung ist nur bei konkretem Verdacht auf eine schwere Pflichtverletzung zulässig (2 AZR 848/15, 2 AZR 153/11). Selbst offene Überwachung darf nicht lückenlos sein. Das LAG Rheinland-Pfalz hat 2017 entschieden, dass auch heimliche Tonaufnahmen durch Mitarbeitende einen Kündigungsgrund darstellen können – umgekehrt gilt das erst recht für Arbeitgeber. Die deutsche Rechtsprechung ist damit strenger als in den USA, wo Time Doctor und Hubstaff ihre Wurzeln haben.

Ja, zwingend. § 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein echtes Mitbestimmungsrecht bei der Einführung technischer Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Ohne Betriebsvereinbarung ist der Einsatz nicht rechtmäßig – Mitarbeitende können per einstweiliger Verfügung stoppen lassen, und bereits erhobene Daten sind unverwertbar. Auch in Unternehmen ohne Betriebsrat bleibt die DSGVO-Anforderung (Art. 6, Art. 88 DSGVO, § 26 BDSG).

Für die meisten KMU-Anwendungsfälle reichen einfachere Tools. Zur Arbeitszeiterfassung nach dem BAG-Urteil von September 2022 genügen Systeme wie Clockodo, Timly oder Microsoft Shifts – ohne jede Monitoring-Komponente. Für Projekt-Tracking gibt es Harvest oder Toggl, die nur Zeitbuchungen erfassen. Wenn es um Produktivität im Homeoffice geht, sind Führung, klare Zielvereinbarungen und Team-Rituale wirksamer als Überwachung. Wir beraten unsere Kunden in Hamburg meist davon, Monitoring einzuführen – der rechtliche und kulturelle Schaden ist fast immer größer als der Nutzen.

Drei Risiken. Erstens: DSGVO-Bußgelder bis zu 4 Prozent des Jahresumsatzes oder 20 Mio. Euro. Die Aufsichtsbehörden der Bundesländer – in Hamburg der HmbBfDI – greifen bei Beschwerden aus Mitarbeiterkreisen zuverlässig durch. Zweitens: Schadensersatzansprüche einzelner Mitarbeitender nach Art. 82 DSGVO, die nach aktuellen BAG-Urteilen schon für rechtswidrige Datenverarbeitung ohne konkrete Schädigung bejaht werden können. Drittens: Rufschaden – Monitoring-Affären landen regelmäßig in lokalen Medien, was bei der Personalgewinnung in Hamburg oder Bremen direkt spürbar wird.