open search
close
Arbeitsrecht 4.0 Compliance Datenschutz Legal Tech

Zeiterfassung mittels Fingerprint – datenschutzrechtliche Hürden!

Print Friendly, PDF & Email
Fingerprint

Die elektronische Erfassung der täglichen Arbeitszeit ist in vielen Unternehmen gängige Praxis und gewinnt aufgrund der Schlussanträge des Generalanwalts am Europäischen Gerichtshof Giovanni Pitruzzella v. 31.01.2019 (C-55/18 EuGH) wieder an Brisanz. So sollen Arbeitgeber nach Auffassung des Generalanwalts – entgegen § 16 Abs. 2 Arbeitszeitgesetz – stets verpflichtet sein, ein System zur Erfassung der täglichen effektiven Arbeitszeit ihrer Mitarbeiter einzuführen.

Erfolgte die Zeiterfassung früher üblicherweise analog mittels Stechuhr, ist heute eine digitale Zeiterfassung, z.B. über softwarebasierte oder webbasierte Zeiterfassungssysteme, teilweise auch per Smartphone oder Tablet, die Regel. Relativ neu ist die digitale Zeiterfassung mittels Fingerprint. Diese Form der Arbeitszeiterfassung soll u.a. verhindern, dass Mitarbeiter für Kollegen „mitstempeln“ und hierdurch Arbeitszeitbetrug begehen. Aus Arbeitgebersicht ist eine Arbeitszeiterfassung mittels Fingerprint daher durchaus interessant. Sie stellt den Arbeitgeber jedoch vor erhebliche – wenn auch nicht unüberwindbare – Hürden, insbesondere aufgrund der seit 2018 geltenden Datenschutzgrundverordnung (DSGVO).

Extrahierung, Speicherung und Verwendung von Minutien

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit dem im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutien-Datensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutien-Datensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.

Besonders zu schützende biometrische Daten

Datenschutzrechtlich handelt es sich bei dem Minutien-Datensatz um biometrische Daten nach Art. 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten i.S.v. § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung in besonderem Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutien-Datensätzen – ist daher nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Allerdings enthält Art. 9 Abs. 2 DSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „freiwillige Einwilligung“ und „Kollektivvereinbarung“.

Erforderlichkeit der Zeiterfassung mittels Fingerprint

Der Arbeitgeber hat ein berechtigtes betriebliches Interesse daran, die tatsächlich geleisteten Arbeitszeiten seiner Mitarbeiter zu erfassen, u.a. zur Durchführung der Lohnabrechnung und zur Erfüllung gesetzlicher Aufzeichnungspflichten. Ob die Interessen des Arbeitgebers ausreichen, eine Arbeitszeiterfassung mittels Fingerprint zu legitimieren, d.h. diese Form der Arbeitszeiterfassung erforderlich i.S.d. des Art. 9 Abs. 2 lit. b) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 1 BDSG ist, muss immer im Einzelfall anhand der konkreten Umstände geprüft werden.

Einwilligung

Wer sich nicht auf eine etwaige Erforderlichkeit verlassen will, kann als vermeintlich sichere Gestaltungsform die Einwilligung des Mitarbeiters gem. 9 Abs. 2 lit. a) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 2 BDSG einholen. Die Legitimation durch Einwilligung birgt jedoch nicht unerhebliche Risiken. So stellt die DSGVO an die Wirksamkeit der Einwilligung strenge Voraussetzungen. Die Einwilligung muss vor Implementierung der Maßnahme aktiv und unmissverständlich eingeholt werden. Damit der Mitarbeiter eine „informierte Entscheidung“ treffen kann, ist dem Mitarbeiter zwingend mitzuteilen, zu welchem Zweck und wie die Verarbeitung erfolgen soll. Der Mitarbeiter ist umfassend zu informieren. Besonders problematisch ist, dass die Einwilligung „freiwillig“ erfolgen muss. Freiwillig soll die Einwilligung nur dann sein, wenn dem Mitarbeiter aus einer Verweigerung keine Nachteile erwachsen. Dem Mitarbeiter müssen daher zumindest Alternativen zu der geplanten Art der Verarbeitung aufgezeigt werden, z.B. die Zeiterfassung mittels Chipkarte. In der Literatur wird jedoch vermehrt vertreten, dass sich Mitarbeiter so gut wie nie in der Position befänden, eine Einwilligung freiwillig zu erteilen, verweigern oder widerrufen zu können. Von einer Freiwilligkeit könne man daher nur in besonderen Ausnahmefällen ausgehen.

Vorrats-Einwilligung zulässig?

Streitig und höchstrichterlich noch nicht geklärt ist, ob im Falle einer nicht wirksamen oder widerrufenen Einwilligung auf den gesetzlichen Erlaubnistatbestand der Erforderlichkeit zurückgegriffen werden kann. Dies wird in der arbeitsrechtlichen und datenschutzrechtlichen Literatur teilweise verneint. Im Falle einer (unwirksamen) Einwilligung sei dem Arbeitgeber der Rückgriff auf andere Erlaubnistatbestände versperrt. Auch vor diesem Hintergrund sollten Arbeitgeber nicht vorschnell zum Mittel der Einwilligung greifen.

Kollektivvereinbarung / Mitbestimmung des Betriebsrates

Unter Umständen haben es Arbeitgeber mit Betriebsräten leichter. So bietet ihnen das Gesetz (Art. 9 Abs. 2 lit. b) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 2 BDSG) grundsätzlich die Möglichkeit, die Einführung der Zeiterfassung mittels Fingerprint durch Abschluss einer Betriebsvereinbarung zu legitimieren. Zum Abschluss einer entsprechenden Betriebsvereinbarung ist der Arbeitgeber ohnehin aufgrund der Mitbestimmungsrechte des Betriebsrats nach §§ 87 Abs. 1 Nr. 1 und 6 BetrVG verpflichtet.

Vorsicht vor unbedachter Einführung!

Ob die Zeiterfassung mittels Fingerprint rechtlich möglich ist und welche Fallstricke der Arbeitgeber vor deren Einführung zu überwinden hat, muss immer im Einzelfall anhand der konkreten Umstände geprüft werden. Ohne fachkundige Unterstützung dürfte die Einführung eines entsprechenden Zeiterfassungssystems oftmals nicht (zumindest nicht ohne erhebliche Risiken) gelingen. Vor einer unbedachten Einführung der Zeiterfassung mittels Fingerprint kann im Hinblick auf die exorbitanten Bußgelder (bis zu 20 Millionen EUR oder im Falle eines Unternehmens von bis zu 4 % des weltweiten Jahresumsatzes des vorangegangen Geschäftsjahrs) nur ausdrücklich gewarnt werden.

10 beiträge

Martin Eisenbeis




Martin Eisenbeis berät Arbeitgeber in allen Fragen des Arbeits­rechts und ins­be­son­dere bei Kün­di­gungs­rechts­strei­tig­kei­ten, Ver­trags­ge­stal­tungen sowie bei betriebs­ver­fas­sungs­recht­li­cher Fragen.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Kopie personenbezogener Mitarbeiterdaten – Keine Pflicht zur Herausgabe umfassender Unterlagen

Nach der DSGVO kann der Arbeitnehmer vom Arbeitgeber eine Kopie der personenbezogenen Daten verlangen, die Gegenstand der Verarbeitung durch den Arbeitgeber sind. Die Reichweite dieses Anspruchs ist nach wie vor umstritten. Eine Klärung durch das BAG ist bislang nicht erfolgt. Nun hat sich das ArbG Bonn (Urteil vom 16.07.2020 – 3 Ca 2026/19) gegen ein weites Verständnis des Anspruchs ausgesprochen und klargestellt, dass nur die…
Betriebsrat Datenschutz Kollektivarbeitsrecht Mitbestimmung Neueste Beiträge

Datenschutz-Folgenabschätzung – zwingender Bestandteil einer „IT-Betriebsvereinbarung“?

Mit der rasant fortschreitenden Digitalisierung sind zwei Themen aus arbeitsrechtlicher Sicht von dauerhafter und erheblicher Bedeutung: Das Recht des Mitarbeiterdatenschutzes und die Mitbestimmung des Betriebsrats bei der Einführung und Anwendung von „technischen Einrichtungen“ im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Einigkeit besteht dahingehend, dass die Betriebsparteien bei der Wahrnehmung des Mitbestimmungsrechts nach § 87 Abs. 1 Nr. 6 BetrVG die Vorgaben der…
Datenschutz Neueste Beiträge

Rekord-DSGVO-Bußgeld für die Modekette H&M

Der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar hat gegen die Modekette H&M ein Bußgeld von € 35,3 Mio verhängt. In der Nürnberger Filiale der Modekette war seit Jahren das Privatleben von Beschäftigten systematisch ausgespäht worden. Bereits im Oktober 2019 war bekannt geworden, dass in der Nürnberger Filiale von H&M Führungskräfte sogenannte Welcome-Back-Gespräche mit Beschäftigten geführt hatten, die aus Urlaub oder Krankheit zurückkehrten. Dabei wurden u….
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.