Die elektronische Erfassung der täglichen Arbeitszeit ist in vielen Unternehmen gängige Praxis und gewinnt aufgrund der Schlussanträge des Generalanwalts am Europäischen Gerichtshof Giovanni Pitruzzella v. 31.01.2019 (C-55/18 EuGH) wieder an Brisanz. So sollen Arbeitgeber nach Auffassung des Generalanwalts – entgegen § 16 Abs. 2 Arbeitszeitgesetz – stets verpflichtet sein, ein System zur Erfassung der täglichen effektiven Arbeitszeit ihrer Mitarbeiter einzuführen.
Erfolgte die Zeiterfassung früher üblicherweise analog mittels Stechuhr, ist heute eine digitale Zeiterfassung, z.B. über softwarebasierte oder webbasierte Zeiterfassungssysteme, teilweise auch per Smartphone oder Tablet, die Regel. Relativ neu ist die digitale Zeiterfassung mittels Fingerprint. Diese Form der Arbeitszeiterfassung soll u.a. verhindern, dass Mitarbeiter für Kollegen „mitstempeln“ und hierdurch Arbeitszeitbetrug begehen. Aus Arbeitgebersicht ist eine Arbeitszeiterfassung mittels Fingerprint daher durchaus interessant. Sie stellt den Arbeitgeber jedoch vor erhebliche – wenn auch nicht unüberwindbare – Hürden, insbesondere aufgrund der seit 2018 geltenden Datenschutzgrundverordnung (DSGVO).
Extrahierung, Speicherung und Verwendung von Minutien
Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit dem im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutien-Datensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutien-Datensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.
Besonders zu schützende biometrische Daten
Datenschutzrechtlich handelt es sich bei dem Minutien-Datensatz um biometrische Daten nach Art. 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten i.S.v. § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung in besonderem Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutien-Datensätzen – ist daher nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Allerdings enthält Art. 9 Abs. 2 DSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „freiwillige Einwilligung“ und „Kollektivvereinbarung“.
Erforderlichkeit der Zeiterfassung mittels Fingerprint
Der Arbeitgeber hat ein berechtigtes betriebliches Interesse daran, die tatsächlich geleisteten Arbeitszeiten seiner Mitarbeiter zu erfassen, u.a. zur Durchführung der Lohnabrechnung und zur Erfüllung gesetzlicher Aufzeichnungspflichten. Ob die Interessen des Arbeitgebers ausreichen, eine Arbeitszeiterfassung mittels Fingerprint zu legitimieren, d.h. diese Form der Arbeitszeiterfassung erforderlich i.S.d. des Art. 9 Abs. 2 lit. b) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 1 BDSG ist, muss immer im Einzelfall anhand der konkreten Umstände geprüft werden.
Einwilligung
Wer sich nicht auf eine etwaige Erforderlichkeit verlassen will, kann als vermeintlich sichere Gestaltungsform die Einwilligung des Mitarbeiters gem. 9 Abs. 2 lit. a) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 2 BDSG einholen. Die Legitimation durch Einwilligung birgt jedoch nicht unerhebliche Risiken. So stellt die DSGVO an die Wirksamkeit der Einwilligung strenge Voraussetzungen. Die Einwilligung muss vor Implementierung der Maßnahme aktiv und unmissverständlich eingeholt werden. Damit der Mitarbeiter eine „informierte Entscheidung“ treffen kann, ist dem Mitarbeiter zwingend mitzuteilen, zu welchem Zweck und wie die Verarbeitung erfolgen soll. Der Mitarbeiter ist umfassend zu informieren. Besonders problematisch ist, dass die Einwilligung „freiwillig“ erfolgen muss. Freiwillig soll die Einwilligung nur dann sein, wenn dem Mitarbeiter aus einer Verweigerung keine Nachteile erwachsen. Dem Mitarbeiter müssen daher zumindest Alternativen zu der geplanten Art der Verarbeitung aufgezeigt werden, z.B. die Zeiterfassung mittels Chipkarte. In der Literatur wird jedoch vermehrt vertreten, dass sich Mitarbeiter so gut wie nie in der Position befänden, eine Einwilligung freiwillig zu erteilen, verweigern oder widerrufen zu können. Von einer Freiwilligkeit könne man daher nur in besonderen Ausnahmefällen ausgehen.
Vorrats-Einwilligung zulässig?
Streitig und höchstrichterlich noch nicht geklärt ist, ob im Falle einer nicht wirksamen oder widerrufenen Einwilligung auf den gesetzlichen Erlaubnistatbestand der Erforderlichkeit zurückgegriffen werden kann. Dies wird in der arbeitsrechtlichen und datenschutzrechtlichen Literatur teilweise verneint. Im Falle einer (unwirksamen) Einwilligung sei dem Arbeitgeber der Rückgriff auf andere Erlaubnistatbestände versperrt. Auch vor diesem Hintergrund sollten Arbeitgeber nicht vorschnell zum Mittel der Einwilligung greifen.
Kollektivvereinbarung / Mitbestimmung des Betriebsrates
Unter Umständen haben es Arbeitgeber mit Betriebsräten leichter. So bietet ihnen das Gesetz (Art. 9 Abs. 2 lit. b) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 2 BDSG) grundsätzlich die Möglichkeit, die Einführung der Zeiterfassung mittels Fingerprint durch Abschluss einer Betriebsvereinbarung zu legitimieren. Zum Abschluss einer entsprechenden Betriebsvereinbarung ist der Arbeitgeber ohnehin aufgrund der Mitbestimmungsrechte des Betriebsrats nach §§ 87 Abs. 1 Nr. 1 und 6 BetrVG verpflichtet.
Vorsicht vor unbedachter Einführung!
Ob die Zeiterfassung mittels Fingerprint rechtlich möglich ist und welche Fallstricke der Arbeitgeber vor deren Einführung zu überwinden hat, muss immer im Einzelfall anhand der konkreten Umstände geprüft werden. Ohne fachkundige Unterstützung dürfte die Einführung eines entsprechenden Zeiterfassungssystems oftmals nicht (zumindest nicht ohne erhebliche Risiken) gelingen. Vor einer unbedachten Einführung der Zeiterfassung mittels Fingerprint kann im Hinblick auf die exorbitanten Bußgelder (bis zu 20 Millionen EUR oder im Falle eines Unternehmens von bis zu 4 % des weltweiten Jahresumsatzes des vorangegangen Geschäftsjahrs) nur ausdrücklich gewarnt werden.