Zeiterfassung durch Fingerabdruck meist nur mit Einwilligung

Das Landesarbeitsgericht (LAG) Berlin-Brandenburg stärkt die Persönlichkeitsrechte der Arbeitnehmer. Die Richter urteilten, dass ein biometrisches Zeiterfassungssystem in der Regel nicht erforderlich im Sinne von Art. 9 Abs. 2 lit. b Datenschutz-Grundverordnung (DSGVO) i.V.m. § 26 Abs. 3 Bundesdatenschutzgesetz (BDSG) ist. Für den Arbeitgeber bedeutet das, dass er für dieses Verfahren in den meisten Fällen vom Arbeitnehmer eine Einwilligung einholen muss.

Zum Sachverhalt

In einer radiologischen Praxis weigerte sich ein medizinisch-technischer Assistent das vom Arbeitgeber zum Zweck der Arbeitszeiterfassung aufgestellte Fingerabdrucklesegerät zu verwenden. Der Arbeitgeber mahnte ihn ab, wogegen sich der Arbeitnehmer erfolgreich vor dem Arbeitsgericht Berlin wehrte. Der Arbeitgeber hatte den Einsatz des Gerätes hauptsächlich damit begründet, dass es eine verlässliche Methode zur Zeiterfassung darstellte. Das Arbeitsgericht Berlin urteile bereits, dass das Persönlichkeitsrecht des Arbeitnehmers überwiegt.

Das Urteil des Landesarbeitsgerichts

Das LAG Berlin-Brandenburg bestätigte nun das erstinstanzliche Urteil, dass der Arbeitnehmer keine arbeitsrechtliche Pflicht verletzt hat und die Abmahnungen unrechtmäßig ergangen sind. Bei den sogenannten Fingerlinienverzweigungen oder Minutien, die das Lesegerät ausliest, handelt es sich aus Sicht des Gerichts um biometrische Daten. Dadurch ist der strenge Maßstab des Art. 9 Abs. 2 DSGVO eröffnet, wonach nur im absoluten Ausnahmefall die Verarbeitung von biometrischen Daten erlaubt ist (Verbot mit Erlaubnisvorbehalt). Ein solcher Ausnahmefall läge dann vor, wenn die Verarbeitung erforderlich wäre, damit die Vertragsparteien ihren arbeitsrechtlichen Rechten und Pflichten nachkommen können.

Erforderlichkeit läge vor, wenn die Interessen des Arbeitnehmers am Persönlichkeitsrecht die Interessen des Arbeitgebers an der Datenverarbeitung nicht überwiegen würden. Nur dann kommt es überhaupt auf geeignete Garantien beim Arbeitgeber für die Grundrechte und Interessen der betroffenen Person an, so das Gericht. Technische und organisatorische Maßnahmen beim Arbeitgeber, wie zum Beispiel Anonymisierung, Pseudonymisierung und Zugriffsbeschränkungen auf die biometrischen Daten des Klägers, hatte das Gericht gar nicht zu überprüfen. Im vorliegenden Fall überwogen bereits die Interessen des Arbeitnehmers und die Verarbeitung biometrischer Daten war nicht erforderlich.

Tipp: Wir kommentieren regelmäßig Urteile zur DSGVO bzw. zum Datenschutzrecht sowie deren Bedeutung für Praxis im Unternehmen!

Datenschutzrechtliche Einschätzung

Der BGH hatte bereits im April 2017 geurteilt, dass ein „technisches System, das das Persönlichkeitsrecht eines Menschen berührt, nur dann erforderlich sei, wenn ein legitimer Zweck verfolgt wird und zur Erreichung dieses Zwecks kein gleich wirksames und das Persönlichkeitsrecht weniger einschränkendes Mittel zur Verfügung steht.“

Der EuGH hatte zwar im Mai 2019 entschieden, dass Arbeitgeber ein System einzurichten haben, mit dem die vom Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann. Es bedarf aber keiner Verarbeitung biometrischer Daten, um das vom EuGH geforderte objektive, verlässliche und zugängliche System der Arbeitszeiterfassung aufzubauen. Das Gericht führte aus, dass die derzeitige Technologie die Erfassung der Arbeitszeit auch anderweitig ermöglicht.

Zwar hat das Gericht zugunsten des Arbeitgebers eingeräumt, dass es bei einem Zeiterfassungssystem mit Transpondern nicht ausgeschlossen ist, dass Arbeitnehmer ihre Anwesenheit vortäuschen, ohne tatsächlich anwesend zu sein. Dies stellt dann aber einen Arbeitszeitbetrug und somit eine Straftat dar, weshalb dann die besondere Vorschrift des § 26 Abs. 1 Satz 2 BDSG zum Tragen kommt. „Wenn aber für die Aufdeckung von Straftaten personenbezogene Daten von Beschäftigten nur verarbeitet werden dürfen, wenn ‚zu dokumentierende tatsächliche Anhaltspunkte‘ den Verdacht begründen, muss das erst recht für den Fall gelten, dass zur Vermeidung von Straftaten eine ständige Verarbeitung besonders geschützter biometrischer Beschäftigtendaten erfolgen soll.“

Daraus folgt, dass eine Zeiterfassung mit Fingerabdruck entweder nur bei konkreten Anhaltspunkten des Missbrauchs oder aufgrund einer Einwilligung des Arbeitnehmers verwendet werden darf. Denkbar sind auch Verarbeitungen zu Zwecken, die über die reine Zeiterfassung hinausgehen. Dies dürfte aber nur in sehr eng gelagerten Sachverhalten der Fall sein, wie zum Beispiel im Fall von Sicherheitsinteressen von Forschungseinrichtungen oder einer kritischen Infrastruktur, etwa in der Rüstungsindustrie.

Fazit

Die Zeiterfassung über ein Fingerabdruck-Lesegerät dürfte für Unternehmen derzeit nicht sehr alltagstauglich sein. Da sie in der Regel auf die Einwilligungserklärungen ihrer Arbeitnehmer angewiesen sind, können sie das System nicht zuverlässig und nur in ganz bestimmt gelagerten Fällen zur Zeiterfassung im Unternehmen ausrollen. Anders sieht das nur aus, wenn ein konkreter Verdacht des Missbrauchs vorliegt. Die Fingermessung kann dann ein effektives Mittel sein, Unsicherheiten aus dem Weg zu räumen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

2 Kommentare

  1. Tina Hochfelden Profilbild
    Tina Hochfelden

    Sehen Sie für die Verarbeitung von biometrischen Daten in diesem Fall eine Datenschutz-Folgenabschätzung vor, in Anlehnung an die Muss-Liste der DSK unter Punkt 15) Verarbeitung von personenbezogenen Daten gemäßArt. 9 Abs. 1 und Art. 10 DS-GVO -auch wenn sie nicht als „umfangreich“ im Sinne des Art 35 Abs. 3 lit. b) anzusehen ist -sofern eine nicht einmalige Datenerhebung mittels der innovativen Nutzung von Sensoren oder mobi-len Anwendungen stattfindet und diese Daten von einer zentralen Stelle empfangen und aufbereitet werden?

    1. Thomas Kayser Profilbild
      Thomas Kayser

      Hallo Frau Hochfelden,

      in dem hier geschilderten Fall ist eine DSFA nicht zielführend, da das LAG urteilte, dass das Auslesen des Fingerabdrucks für den Arbeitgeber nicht erforderlich war. Im Ausnahmefall, in dem kein milderes ebenso effektives Mittel vorliegt, dürfte tendenziell eine DSFA vorzunehmen sein. Dies folgt bereits aus Art. 35 Abs. 1 Satz 1 DSGVO. Denn die Verarbeitung von biometrischen Daten ist ein Indiz für ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen. Dies muss aber stets im Einzelfall untersucht werden.

      Mehr Infos finden Sie auch unter: https://www.datenschutzkonferenz-online.de/media/oh/20190405_positionspapier-biometrie.pdf.

      Mit freundlichen Grüßen
      Thomas Kayser

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.