Inhalt in Kürze
- Time Doctor, Hubstaff, Teramind und ActivTrak gewinnen im deutschen Mittelstand an Boden – obwohl die meisten Standard-Konfigurationen nach deutschem Arbeitsrecht nicht rechtmäßig sind.
- Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 BetrVG ein echtes Mitbestimmungsrecht. Ohne Betriebsvereinbarung kein legaler Einsatz.
- Das Bundesarbeitsgericht verlangt für Überwachung einen konkreten Anlass oder eine rechtssichere Zweckbindung. Lückenlose Mausbewegungs- und Keystroke-Aufzeichnung ist faktisch kaum darstellbar.
- Alternativen für KMU: Arbeitszeiterfassung ohne Monitoring (Clockodo, Timly), Projekt-Tracking (Harvest, Toggl) oder – der ehrlichste Weg – klare Führung statt Überwachung.
Homeoffice macht Geschäftsführern Bauchschmerzen. „Arbeiten die Leute eigentlich, oder schauen sie Netflix?" ist keine rhetorische Frage mehr, sondern ein echter Pain Point – besonders in Branchen, in denen Produktivität schwer messbar ist. Parallel tauchen in jedem Vertriebs-Webinar Tools wie Time Doctor, Hubstaff oder Teramind auf, die genau dieses Problem lösen wollen: Mausaktivität, Tastenanschläge, Screenshots, Website-Zeiten. Die n-tv-Recherche von 2024 zeigt: Die Software gewinnt in Deutschland schleichend Marktanteile. Nur: In der Standard-Konfiguration ist der Einsatz hierzulande fast immer rechtswidrig.
Was Time Doctor, Hubstaff und Teramind technisch tun
Diese Tools sind in den USA entwickelt, wo das Verhältnis zwischen Arbeitgeber und Arbeitnehmer rechtlich deutlich anders geregelt ist. Die typische Funktionspalette:
- Aktivitätstracking. Mausbewegungen, Tastatur-Anschläge pro Minute, Leerlauf-Zeiten.
- Screenshots. Alle 10 Minuten ein zufälliger Screenshot vom Bildschirm des Mitarbeitenden.
- App- und Website-Nutzung. Welche Programme wann wie lange offen waren, welche URLs aufgerufen wurden.
- Anwesenheits-Scoring. Ein „Produktivitäts-Score" pro Mitarbeiter, sichtbar für Vorgesetzte.
- GPS-Tracking (Mobile-Varianten). Bei Außendienst-Modulen.
Für den US-Arbeitgeber ist das bei „Employment at will" und weitgehend fehlendem Kündigungsschutz unproblematisch. In Deutschland kollidiert jedes einzelne dieser Features mit mehreren Rechtsebenen gleichzeitig: DSGVO, BDSG, BetrVG, Grundgesetz (allgemeines Persönlichkeitsrecht), BAG-Rechtsprechung. Die Mitbestimmungs-Studie der Hans-Böckler-Stiftung hält explizit fest, dass diese Tools „in Deutschland offenbar an Boden gewinnen" – und warnt vor dem Wildwuchs.
Die Rechtslage in drei Schichten
DSGVO und BDSG
Artikel 88 DSGVO überlässt den Beschäftigtendatenschutz weitgehend dem nationalen Recht. Für Deutschland ist das § 26 BDSG: Datenverarbeitung ist zulässig, wenn sie zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. „Erforderlich" ist ein enger Begriff. Die Aufsichtsbehörden legen ihn restriktiv aus: Eine lückenlose Mausaktivitäts-Aufzeichnung ist zur Durchführung des Arbeitsverhältnisses nicht erforderlich. Eine Anwesenheitserfassung sehr wohl.
Arbeitsrecht und Mitbestimmung
§ 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein echtes Mitbestimmungsrecht bei allen technischen Einrichtungen, „die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen". Entscheidend: „dazu bestimmt" – es reicht, dass die Software es könnte. Keystroke-Logging erfüllt das Kriterium immer. Ohne Betriebsvereinbarung: kein legaler Einsatz. Das Buse-Heberer-Blog fasst die Rechtsfolgen sauber zusammen.
BAG-Rechtsprechung
Das Bundesarbeitsgericht hat in zwei Leitentscheidungen (BAG 2 AZR 848/15 und 2 AZR 153/11) klargestellt, dass verdeckte Überwachung nur bei konkretem Verdacht auf eine schwere Pflichtverletzung zulässig ist. Offene Dauerüberwachung ohne Anlass ist unverhältnismäßig und damit rechtswidrig. Das überträgt sich unmittelbar auf Software-Monitoring – die Argumentation ändert sich nicht, nur das Medium.
Wir hören gelegentlich das Argument „Aber die Mitarbeitenden haben doch eingewilligt". Einwilligungen im Arbeitsverhältnis sind wegen des Abhängigkeitsverhältnisses nach § 26 Abs. 2 BDSG nur selten wirksam. Die Aufsichtsbehörden werten sie regelmäßig als unfreiwillig ab – schon weil die Alternative faktisch Kündigung wäre.
Wenn mich ein Geschäftsführer fragt, ob er Time Doctor einführen kann, stelle ich immer zuerst eine andere Frage: Was genau wollen Sie damit erreichen? In neun von zehn Fällen kommt die Antwort, dass jemandem nicht vertraut wird. Und dann reden wir nicht über Software, sondern über Führung.
Die vier DSGVO-kritischen Features im Check
| Feature | Rechtliche Einordnung | Realistische Zulässigkeit |
|---|---|---|
| Mausaktivität / Keystrokes | Verhaltens- und Leistungsüberwachung nach § 87 BetrVG | Nur mit enger Betriebsvereinbarung, anonymisiert, begrenzter Zeitraum |
| Screenshots | Eingriff ins Persönlichkeitsrecht, DSGVO-relevant | Praktisch nicht rechtmäßig zu betreiben |
| Website-Nutzung | Kann personenbezogen sein (Gesundheit, Religion) | Nur als pseudonymisierte Summenstatistik |
| GPS-Tracking (Außendienst) | Zulässig bei berechtigtem Interesse + Information | Muss während Pausen abschaltbar sein |
Die pragmatische Alternative: Was wir Kunden in Hamburg empfehlen
Für die Anwendungsfälle, die wir bei unseren Kunden sehen, gibt es meist bessere Werkzeuge – rechtlich sauber und kulturell verträglich:
- Arbeitszeiterfassung (BAG-Pflicht). Seit dem Urteil vom September 2022 müssen Arbeitgeber Arbeitszeiten erfassen. Clockodo, Timly, Microsoft Shifts oder die integrierte Entra-ID-Zeitbuchung reichen – ohne Monitoring.
- Projekt-Tracking. Harvest, Toggl, TimeButler oder Microsoft Project. Der Mitarbeiter bucht selbst, wie lange er an welchem Projekt gearbeitet hat. Für Kundenabrechnung und Controlling meist genau das Richtige.
- Produktivitätsmessung über Ergebnisse. Statt Mausbewegungen zu tracken: OKRs, klare Deliverables, wöchentliche 1:1-Gespräche. Im Homeoffice wichtiger denn je.
- Security-Monitoring statt Produktivitäts-Monitoring. Microsoft Defender for Endpoint, Intune-Compliance, Entra-Anmelde-Logs – das sind legitime Sicherheitswerkzeuge, keine Leistungskontrolle.
Unser vorheriger IT-Dienstleister wollte uns ein Monitoring-Tool verkaufen, damit wir sehen, wer im Homeoffice wirklich arbeitet. hagel IT hat uns erklärt, dass das bei uns rechtlich schwierig wird und dass wir eher das Führungsthema angehen müssen. Das war ehrlich und hat uns vor einem Debakel mit dem Betriebsrat bewahrt.
Wenn es wirklich sein muss: Die 6-Schritte-Einführung
Es gibt seltene Fälle, in denen Monitoring gerechtfertigt sein kann – etwa im Umgang mit streng regulierten Daten (Gesundheitswesen, Banking) oder bei Verdacht auf konkrete Pflichtverletzungen. Wenn Ihr Fall tatsächlich in diese Kategorie fällt, sollten Sie die folgende Reihenfolge einhalten:
- 1. Zweck dokumentieren. Schriftlich festhalten, welches konkrete Problem gelöst werden soll. Kein „Wir haben den Eindruck, dass…". Ein dokumentierter Anlass ist Pflicht.
- 2. Datenschutz-Folgenabschätzung (DSFA) durchführen. Monitoring-Software unterliegt der DSFA-Pflicht nach Art. 35 DSGVO.
- 3. Betriebsrat einbeziehen. Falls vorhanden, mit vollständiger Information in Verhandlungen über eine Betriebsvereinbarung gehen.
- 4. Anonymisierung und Aggregation. Keine Einzelauswertungen, nur Summenstatistiken.
- 5. Befristung. Mindestens initial auf sechs Monate befristen, danach Evaluation.
- 6. Mitarbeiterinformation. Transparente, schriftliche Kommunikation vor Einführung.
Bei Unternehmen mit Sitz in Hamburg ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) der richtige Ansprechpartner für Abstimmungen. Eine Vorab-Konsultation nach Art. 36 DSGVO schützt vor späteren Bußgeldüberraschungen – und kostet nichts außer Zeit.
Unser Fazit für den Mittelstand
Time Doctor, Hubstaff und Teramind sind Tools, die für US-amerikanische Arbeitskulturen entworfen wurden. Sie lassen sich in Deutschland nicht einfach „einschalten". Als IT-Dienstleister in Hamburg mit Kunden in Bremen, Kiel und Lübeck sehen wir regelmäßig, wie solche Tools auf Management-Ebene diskutiert und dann – oft nach einem Betriebsrats-Gespräch – wieder kassiert werden. Die Betriebsvereinbarung, die eine Einführung rechtfertigen würde, kostet mehr Zeit und Vertrauen, als sie bringt.
Wenn Sie bei der Entscheidung Unterstützung brauchen – sei es beim Abwägen der Rechtslage, bei der Auswahl DSGVO-konformer Zeiterfassung oder bei der NIS2-konformen IT-Landschaft insgesamt –, dann lassen Sie uns reden. Wir haben in über 20 Jahren eine klare Meinung dazu, was funktioniert und was nicht.
Monitoring-Entscheidung mit Experten durchspielen.
30 Minuten Erstgespräch. Kostenlos. Wir helfen Ihnen, die richtigen Fragen zu stellen – bevor Sie Geld und Vertrauen in ein Tool stecken, das später nicht eingesetzt werden darf.
Termin buchen →