Die Arbeitszeiterfassung durch ein Zeiterfassungssystem mittels Fingerprints ist nicht erforderlich im Sinne von § 26 Abs. 1 BDSG und damit ohne Einwilligung der betroffenen Person nicht zulässig (ArbG Berlin, Urteil vom 16.10.2019, Az. 29 Ca 5451/19).
Sachverhalt der Entscheidung
In einem Unternehmen wurde ein neues – auf Fingerabdrücken basierenden – Zeiterfassungssystems eingeführt. Das Unternehmen hatte den Beschäftigten per Rundmail mitgeteilt, dass mit der Einführung dieses Zeiterfassungssystem nur noch die Arbeitszeiten anerkannt würden, die von diesem Zeiterfassungssystem registriert würden. Ein langjährig Beschäftigter des Unternehmens verweigerte dies und erhielt deshalb vom Unternehmen eine Abmahnung. Diese lies er mit seiner Klage vom Arbeitsgericht auf ihre Rechtmäßigkeit überprüfen. Eine Einwilligung für die Zeiterfassung mittels Fingerprints hatte er nicht erteilt.
Aus der Entscheidung des Arbeitsgerichts
Das Arbeitsgericht Berlin hat den Einsatz des Zeiterfassungssystem datenschutzrechtlich für unzulässig erklärt, weil keine Einwilligung des betroffenen Arbeitnehmers vorliege und auch keine andere Rechtsgrundlage vorhanden sei, um im beklagten Unternehmen Arbeitszeiterfassung per Fingerabdruck zu ermöglichen.
Der Kläger ist nicht verpflichtet, das Zeiterfassungssystem ZEUS zu nutzen. … Diese Form der Arbeitszeiterfassung soll unter anderem verhindern, dass Mitarbeiter für Kollegen ‚mitstempeln‘ und hierdurch Arbeitszeitbetrug begehen. Bei der Zeiterfassung mittels Fingerprints meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden. Datenschutzrechtlich handelt es sich bei dem Minutiendatensatz um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG.
Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutiendatensätzen – ist daher nach Artikel 9 Abs. 1 GSGVO grundsätzlich verboten. Allerdings enthält Artikel 9 Abs. 2 GSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände ‚Erforderlichkeit‘, ‚Freiwillige Einwilligung‘ und ‚Kollektivvereinbarung‘. Eine Einwilligung und eine Kollektivvereinbarung liegen hier nicht vor. Folglich ist zu prüfen, ob die Verarbeitung der biometrischen Daten im Rahmen der Zwecke der Beschäftigungsverhältnisses im Sinne des § 26 Abs. 1 BDSG erforderlich ist, damit der Verantwortliche (Arbeitgeber) den ihm ‚aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes‘ erwachsenden Rechte und Pflichten nachkommen kann. Es darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person (des Beschäftigten) an dem Ausschluss der Verarbeitung überwiegt. Biometrische Merkmale eines Beschäftigten darf der Arbeitgeber nach § 26 Abs. 3 BDSG somit nur dann verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangssicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden.
Zum Thema Datenschutzrecht - speziell auch im Beschäftigtendatenschutzrecht - berät Sie gerne unsere betriebliche Datenschutzbeauftragte und Fachanwältin für Arbeitsrecht Nadine Kanis!