Biometrische Zeiterfassung

Die Erfassung der Arbeitszeit gehört zum Berufsalltag wie die erste Tasse Kaffee unter Kolleginnen und Kollegen. Die Unternehmen, die das Thema bisher bewusst oder unbewusst nicht betrachtet haben, werden sich mittelfristig auch damit auseinandersetzen müssen.

Der EuGH hat in einer viel beachteten arbeitsrechtlichen Entscheidung bestimmt, dass die Mitgliedstaaten der EU die Arbeitgeber verpflichten müssen, „ein objektives, verlässliches und zugängliches System einzuführen, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann“ (vgl. unseren Beitrag hier). Um die, wie auch immer ausgestaltete, Arbeitszeiterfassung kommt man also nicht mehr herum.

Die Qual der Wahl

Welches System aber ist der beste Weg, um die Arbeitszeiterfassung umzusetzen? Unstreitig geht kein Weg an einer elektronischen Erfassung vorbei. Aber auch bei der elektronischen Zeiterfassung gibt es einen Blumenstrauß an Varianten:

Token, Chip oder Karte
App auf dem Smartphone
Software auf dem PC

Alle diese Möglichkeiten haben Vor- und Nachteile. Bei der Einführung neuer Zeiterfassungssysteme liegt erfahrungsgemäß ein Schwerpunkt darin, die Nachteile so gering wie möglich zu halten. Diese bestehen insbesondere dann, wenn die Zeiterfassung mittels eines Besitzes, also Token, Chip, Karte oder Smartphone, realisiert werden soll. Die Mitarbeitenden vergessen den Erfassungsgegenstand oder er geht verloren bzw. kaputt. Zudem besteht die Möglichkeit, dass er an Kolleginnen oder Kollegen weitergegeben wird, die dann das Ein- und Ausstempeln übernehmen.

Die Lösung: Biometrie?

Diese Probleme wären massiv reduziert, wenn die Zeiterfassung über biometrische Lesegeräte erfolgen würde. In Betracht kämen Fingerabdruck-, Venen- oder Iris-Scanner. Der große Vorteil: Die entsprechenden Körperteile können nicht vergessen und auch nicht weitergegeben werden.

Datenschutzrechtliche Betrachtung

Bei der biometrischen Zeiterfassung wird das entsprechende Körperteil gescannt und mit dem in der Datenbank hinterlegten Referenz-Datensatz abgeglichen. Dieser Referenz-Datensatz ist entweder ein Abbild des original Biometrie-Scans oder, und das ist der Regelfall, ein aus dem Original-Scan errechneter eindeutiger Wert, der in der Datenbank hinterlegt wird. So werden beispielsweise beim Fingerabdruck-Scan bei der Einrichtung des Mitarbeitenden-Profils die individuellen, nicht vererbbaren Fingerlinienverzweigungen – sog. Minutien – erfasst). In diesem Fall werden in der Datenbank selbst keine biometrischen Daten verarbeitet.

Ob der Einsatz von biometrischen Zeiterfassungssystemen datenschutzkonform ist, war unlängst Gegenstand einer Entscheidung des Arbeitsgerichtes Berlin (Urteil vom 16.10.2019, AZ: 29 Ca 5451/19). Die Arbeitsgerichtsbarkeit war zuständig, weil ein Beschäftigter gegen eine Abmahnung vorging. Diese erhielt er, weil er die Teilnahme an der biometrischen Zeiterfassung mittels Fingerabdruck seines Arbeitgebers verweigerte.

Das Gericht stellt zunächst klar, dass es sich bei dem Minutiendatensatz um besondere Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DS-GVO und des § 26 Abs. 3 BDSG handelt. Die Verarbeitung dieser besonderen Kategorie personenbezogener Daten unterliegt einem generellen Verarbeitungsverbot (Art. 9 Abs. 1 DS-GVO), sofern sich aus Art. 9 Abs. 2 DS-GVO keine Ausnahme ergibt. Als Ausnahmeregelungen sieht das Gericht

die Einwilligung,
eine Kollektivvereinbarung oder
die Erforderlichkeit

als mögliche Erlaubnistatbestände.

Erforderlichkeit als Rechtsgrundlage

Für die Zeiterfassung mittels Fingerabdrucks ist die Erforderlichkeit im Sinne des § 26 Abs. 1 BDSG nach Auffassung des Arbeitsgerichtes nur gegeben, wenn sie zweckdienlich ist, es kein milderes Mittel gibt und das Verfahren verhältnismäßig ist. Das Gericht sieht im vorliegenden Fall die Erforderlichkeit als nicht gegeben an. Zwar bestehe beim Einsatz alternativer Zeiterfassungsmöglichkeiten immer die Gefahr eines Missbrauchs in Form des Arbeitszeitbetrugs. Liegen jedoch keine konkreten Anhaltspunkte für einen „systematischen Missbrauch“ vor, sei ein überwiegendes schutzwürdiges Interesse der Mitarbeitenden anzunehmen. Die Zeiterfassung mittels Fingerabdrucks sei insoweit nicht erforderlich.

Auf die Ausnahmeregelungen der Einwilligung bzw. der Kollektivvereinbarung musste das Gericht nicht eingehen, da Entsprechendes nicht vorlag. Gleichwohl sollen diese beiden Möglichkeiten hier in Betracht genommen werden.

Einwilligung als Rechtsgrundlage

Die Einwilligung im Beschäftigungsverhältnis ist zulässig. Gleichwohl wird sie seit jeher kritisch gesehen. Hintergrund ist das Erfordernis der Freiwilligkeit der Erklärung. Der Beschäftigte muss die Erklärung ohne Zwang abgeben können. Ferner darf sich aus der Weigerung kein Nachteil für das Beschäftigungsverhältnis ergeben. Gerade bei derart eingriffsintensiven Datenverarbeitungen wie der Nutzung von Biometrie muss mit Widerständen in der Belegschaft und der Verweigerung der Einwilligung gerechnet werden. Insoweit muss der Arbeitgeber für diesen Fall eine Alternative bereithalten. Er kommt somit nicht um das Angebot einer zusätzlichen biometriefreien Zeiterfassung herum, selbst wenn er Gefahr läuft, dass sämtliche Beschäftigte die Alternative wählen.

Kollektivvereinbarung

Kollektivverträge können nach § 26 Abs. 4 BDSG als Rechtsgrundlage einer Datenverarbeitung gelten. Sie können selbständige Datenschutzregelungen enthalten und sind nicht an den Interessenausgleich von DS-GVO und BDSG gebunden. Denkbar ist insoweit auch ein Abweichen zum Nachteil der Beschäftigten (BeckOK DatenschutzR/Riesenhuber, 30. Ed. 1.11.2019, BDSG § 26 Rn. 54). Gleichwohl sind Kollektivverträge nicht unbeschränkt oder kontrollfrei zulässig. Sie müssen die Grundsätze des Art. 9 Abs. 2 DS-GVO beachten. Insoweit kann das zur Einwilligung Dargestellte auf Kollektivvereinbarungen übertragen werden. Ungeachtet dessen wird davon ausgegangen werden müssen, dass aufgrund der eingriffsintensiven Datenverarbeitung kaum mit dem Abschluss entsprechender Vereinbarungen gerechnet werden kann.

Fazit

Der Einsatz biometrischer Zeiterfassung ist nicht per se unzulässig. Allerdings müssen hohe Hürden genommen und Alternativen angeboten werden. Ob nicht zuletzt wegen der Alternativnotwendigkeit die Einführung biometrischer Zeiterfassung sinnvoll ist, sollte gut abgewogen werden. In jedem Fall ist eine Datenschutz-Folgenabschätzung vorzunehmen, in der zu den skizzierten Punkten detailliert Stellung bezogen werden muss.

Dr. Sebastian Ertel | 18. Dezember 2019 | Beschäftigtendatenschutz, Rechtsprechung | Arbeitszeiterfassung, Biometrie, biometrische Daten, Fingerabdruck