Die elektronische Zeiterfassung gewinnt vor dem Hintergrund der Entscheidung des EuGH vom 14.05.2019 – C-55/18 zunehmend an Bedeutung. Danach müssen die Mitgliedstaaten die Arbeitgeber bekanntlich verpflichten, ein objektives, verlässliches und zugängliches System einzuführen, mit dem die von jedem Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann. Dabei ist die digitale Zeiterfassung mittels Fingerprint für den Arbeitgeber besonders interessant. Hierdurch soll u.a. verhindert werden, dass Mitarbeiter für Kollegen „mitstempeln“ und einem Arbeitszeitbetrug entgegengewirkt werden. Zu dieser Form der Arbeitszeiterfassung berichteten wir bereits in unserem Blog (vgl. den Beitrag von Martin Eisenbeis v. 28.02.2019). Das ArbG Berlin hat sich zwischenzeitlich zur datenschutzrechtlichen Zulässigkeit einer entsprechenden Arbeitszeiterfassung geäußert (Urteil v. 16.10.2019 – 29 Ca 5451/19) und dem Arbeitgeber Kriterien an die Hand gegeben, die bei der rechtlichen Bewertung zu berücksichtigen sind.
Was ist passiert?
Der Arbeitgeber führte ein neues Zeiterfassungssystem ein, bei welchem sich die Mitarbeiter mittels Fingerprint an- und abmelden sollten. Hierbei wurden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wurde sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks der Mitarbeiter bei der An- und Abmeldung verwendet. Nicht gespeichert wurde hingegen der Fingerabdruck selbst. Nachdem sich der klagende Arbeitnehmer weigerte, das Zeiterfassungssystem zu benutzen, erteilte ihm der Arbeitgeber zwei Abmahnungen.
Datenschutzrechtliche Zulässigkeit
Das ArbG entschied, dass die Abmahnungen aus der Personalakte zu entfernen seien, da die Zeiterfassung per Fingerprint im konkreten Fall nicht datenschutzrechtskonform erfolgt sei. Weil die Datenverarbeitung weder auf eine Einwilligung des Arbeitnehmers noch – mangels Betriebsrats – auf eine Betriebsvereinbarung gestützt werden konnte, richtete das Gericht seine rechtliche Prüfung an den einschlägigen Vorschriften des Art. 9 Abs. 1 DSGVO und § 26 Abs. 3 BDSG aus. Danach handelt es sich beim Minutiendatensatz um biometrische Daten und besondere Kategorien personenbezogener Daten, deren Verarbeitung ausnahmsweise nur dann erfolgen darf, wenn sie für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.
Erforderlichkeitskriterien zugunsten des Arbeitgebers
Bei der Prüfung der Erforderlichkeit ging das ArbG von dem Grundsatz aus, dass der mit einer Datenverarbeitung verfolgte konkrete Zweck umso schwerer wiegen müsse, je intensiver in das Persönlichkeitsrecht der Arbeitnehmer eingegriffen wird. Da der Eingriff bei der Einführung eines Fingerprintsystems erheblich sei, müssten besondere Umstände vorliegen, die ein überwiegendes Interesse des Arbeitgebers an dessen Einführung begründen könnten.
Bei der Interessenabwägung führte das Arbeitsgericht an, der Arbeitgeber müsse für eine „solche Art von Kontrollen“ einen besonderen Anlass haben. Dies könne etwa dann der Fall sein, wenn
- durch ein bisheriges „händisches“ System erheblicher Missbrauch betrieben worden sei,
- im Fall der Einführung eines anderen Zeiterfassungssystems Missbrauch in nennenswertem Umfang zu befürchten sei oder
- der klagende Arbeitnehmer in der Vergangenheit durch Falschangaben betreffend seine Arbeitszeit negativ aufgefallen sei.
Weil der Arbeitgeber entsprechende Umstände nicht ausreichend dargelegt hat, wurde der Klage des Arbeitnehmers stattgegeben.
Fazit
Die datenschutzrechtliche Zulässigkeit der Einführung eines Zeiterfassungssystems mittels Fingerprint ist stets bezogen auf den jeweiligen Einzelfall sorgfältig zu prüfen. Dabei gilt: je mehr Missbrauch im Betrieb des Arbeitgebers in der Vergangenheit praktiziert worden ist und je missbrauchsanfälliger andere Systeme erscheinen, desto eher darf ein entsprechendes System eingeführt werden.
Arbeitgeber mit Betriebsräten haben zudem den Vorteil, dass sie die datenschutzrechtliche Zulässigkeit auch durch eine Betriebsvereinbarung herbeiführen können. Der Betriebsrat hat bei der Einführung eines Fingerprintsystems zumindest auf der Grundlage von § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht. Dagegen steht die Einholung von datenschutzrechtlichen Einwilligungen der Arbeitnehmer als Rechtsgrundlage „auf wackligen Füßen“. Diese können von den Arbeitnehmern nicht nur jederzeit mit der Folge widerrufen werden, dass eine darauf gestützte Datenverarbeitung unzulässig wird. Sie können auch mit Blick auf die von Art. 7 Abs. 4 DSGVO und § 51 Abs. 4 BDSG geforderte Freiwilligkeit angreifbar sein.