Biometrische Daten für die Zeiterfassung?


Hintergrund:

Das Arbeitsgericht Berlin fällte im Oktober 2019 (Az. 29 Ca 5451/19) ein Urteil, in dem es erstmals die Voraussetzungen für die Nutzung biometrischer Daten im Beschäftigungsverhältnis näher definierte. Vordergründig ging es um die Entfernung von Abmahnungen aus der Personalakte des Klägers gem. §§ 242, 1004 BGB, da der Arbeitnehmer sich geweigert hatte, ein eingerichtetes digitales Zeiterfassungssystem zu nutzen und weiterhin alle Arbeitszeiten handschriftlich aufzeichnete.

Das Zeiterfassungssystem zeichnete die Arbeitszeiten mittels einer Software durch Abgleich des Fingerabdrucks mit dem durch eine sogenannte „Record-Nummer“ zugeordneten Minutiendatensatz (Minutien sind individuelle, nicht vererbbare Fingerlinienverzweigungen) des Mitarbeiters auf.

Neben dem Verbot, derartige biometrische Daten in diesem Fall zu verarbeiten, sprach das Gericht dem Kläger sowohl die Entfernung der Abmahnungen aus seiner Personalakte als auch eine umfassende Auskunft über Zwecke, Empfänger, Herkunft und (Dauer der) Speicherung seiner Daten zu.


Verwendung biometrischer Daten im Beschäftigungsverhältnis?

Der Arbeitgeber stützte sich bei der Verarbeitung der Minutiendatensätze auf § 26 (Abs. 1) BDSG, der grundsätzlich die Verarbeitung von Beschäftigtendaten ermöglicht, soweit dies für die Begründung oder Durchführung des Vertragsverhältnisses notwendig ist. Der Arbeitgeber argumentierte, er habe seine Pflicht zur Aufzeichnung der Arbeitszeit nach Arbeitszeitgesetz erfüllen und Arbeitszeitmissbrauch durch die Mitarbeiter, z. B. durch handschriftliche Falschaufzeichnungen, verhindern wollen.

Das Gericht erklärte die Nutzung dieser biometrischer Daten für unzulässig, weil Grundlage der Nutzung biometrischer Daten § 26 Abs. 3 BDSG sei und die Daten – als besondere persönliche Merkmale bzw. Eigenschaften einer Person – unter dem besonderen Schutz des Art. 9 DSGVO stünden.

Biometrische Daten sind nach Art. 4 Nr. 14 DSGVO solche Daten, die mittels spezieller technischer Verfahren die eindeutige Identifizierung/Verifikation einer natürlichen Person ermöglichen, und zwar anhand von physischen, physiologischen oder verhaltenstypischen Merkmalen wie Gesichtsbild (Passbild) oder daktyloskopischen Daten (Fingerabdruck). Solche Daten dürfen nur in den durch Art. 9 Abs. 2 DSGVO und § 26 Abs. 3 BDSG zugelassenen Ausnahmen verarbeitet werden:

  • Vorliegen einer aufgeklärten, freiwilligen Einwilligung des Mitarbeiters
  • Vorliegen einer Kollektivvereinbarung
  • Kein Überwiegen der schutzwürdigen Interessen der betroffenen Person am Ausschluss der Verarbeitung bei der Erfüllung von Pflichten aus dem Arbeitsrecht/Recht der sozialen Sicherheit durch den Arbeitgeber: Verhältnismäßigkeit


Zur Argumentation des Gerichts:

Da hier weder eine Einwilligung noch Kollektivvereinbarung vorlagen, hätte laut Gericht eine Verhältnismäßigkeitsprüfung erfolgen müssen, die der Arbeitgeber nicht vorgenommen hatte.

Die Verhältnismäßigkeitsprüfung ist eine 3-stufige Prüfung:

  • Die biometrische Zeiterfassung muss grundsätzlich geeignet sein, den Zweck des Beschäftigungsverhältnisses tatsächlich zu fördern.
  • Des Weiteren darf kein anderes gleich wirksames und das Persönlichkeitsrecht weniger beeinträchtigendes Mittel existieren.
  • Zuletzt muss die biometrische Zeiterfassung auch erforderlich im engeren Sinne sein, was eine Interessenabwägung erfordert: Je intensiver in das Persönlichkeitsrecht des Beschäftigten eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber verfolgte konkrete Zweck wiegen.

Laut Gericht existierten in dem besagten Fall zum einen weniger beeinträchtigende Mittel (handschriftliche Aufzeichnung). Zum anderen gab es weder Anzeichen für einen eventuell erfolgenden Arbeitszeitbetrug noch habe es sich bei dem Sachverhalt um Zugänge zu sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen gehandelt, die besonders schützenswert seien und eine Verarbeitung biometrischer Daten von Beschäftigten rechtfertigenkönnen. Erfolgt die Verarbeitung, ist in jedem Fall eine Datenschutzfolgeabschätzung nach Art. 35 Abs. 3b) DSGVO vorzunehmen.


Handlungsbedarf:

  • Überprüfen Sie, ob digitale (Zeit-)Erfassungssysteme eingesetzt und biometrische Daten verarbeitet werden.
  • Wenn ja: Überprüfen Sie, ob eine Einwilligung der Mitarbeiter oder eine Kollektivvereinbarung vorliegt.
  • Wenn nein: Prüfen Sie, ob die digitale biometrische Datenverarbeitung erforderlich und angemessen ist; beachten Sie auch, ob Sicherheitsbereiche betroffen sind und dementsprechend eine Datenschutzfolgeabschätzung vorgenommen wurde.