Bereits in meinem Blogbeitrag vom September 2019 mit dem Titel Bezahlen mit Fingerabdruck, habe ich auf die Gefahren der Verwendung biometrischer Daten hingewiesen. Durch die EuGH-Entscheidung zum Erfassen der Arbeitszeit vom 14. Mai 2019 werden Unternehmen dazu verpflichtet, zum Schutz der Arbeitnehmer vor Ausbeutung und Übervorteilung zuverlässige und Revisionssichere Zeiterfassungssysteme einzuführen. Hierdurch soll insbesondere auch die Einhaltung von Mindestlohngesetzen überprüfbar sein. Nun denken viele Unternehmen daran, erstmalig Zeiterfassungssysteme einzuführen. Hierbei werden auch Systeme angeboten, die zur eindeutigen Identifizierung und zur Erhöhung des Erfassungskomforts mit Fingerabdruckscannern arbeiten, oder sogenannte Minutien (Fingerabdrucklinienverzweigungen/ Handlinienverzweigungen) verarbeiten.

In beiden Fällen handelt es sich um biometrische Daten gemäß Art. 9 Abs. 1 DSGVO und da ein Bezug zum Arbeitsverhältnis vorliegt, auch in  Verbindung  mit § 26 BGDSG.
Bei Fingerabdrücken ist das unstreitig, bei Minutien hat das LArbG Berlin-Brandenburg, 10. Kammer, Aktenzeichen: 10 Sa 2130/19, am 4. Juni 2020 entschieden, dass es sich hierbei ebenfalls um biometrische Daten handelt.

Auszug aus der Urteilsbegründung:

„Minutien sind, entgegen der von der Beklagten in der Berufungsverhandlung geäußerten Ansicht, biometrische Daten. Minutien sind zwar „nur“ Fingerlinienverzweigungen, so dass der dazu gehörige Fingerabdruck nicht „als Ganzes“ verarbeitet wird. Nach Art. 4 Nr. 14 der europäischen Datenschutzgrundverordnung (DSGVO) sind biometrische Daten aber alle mit speziellen technischen Verfahren gewonnene personenbezogene Daten u. a. zu den physischen und physiologischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglicht oder bestätigt. Das ist bei Minutien der Fall.“

Dieser Sichtweise ist uneingeschränkt zuzustimmen, auch wenn die Zuordnung nur mit einer speziellen Software und besonderen technischen Einrichtungen, wie sie von den Herstellern angeboten werden, möglich ist. Es ist ausreichend, dass es sich um biometrische Merkmale handelt, und dass eine eindeutige Identifikation der Mitarbeitenden möglich (-und natürlich bei der alltäglichen Anwendung auch gewollt) ist.

Wann ist die Verarbeitung von biometrischen Daten zum Zweck der Arbeitszeiterfassung zulässig?

Dies regelt Art. 9 Abs. 2 DSGVO und § 26 Abs. 3 und 4 BDSG:

Einwilligung:

Der Arbeitgeber könnte von den Mitarbeitenden eine Einwilligung einholen. Neben dem Erfordernis der Freiwilligkeit – welcher Mitarbeitende traut sich schon nein zu sagen, wenn er oder sie zur Zustimmung aufgefordert wird-, wäre eine Einwilligung hier aus Sicht des Arbeitgebers auch nicht praktikabel, da eine Arbeitszeiterfassung auf Dauer angelegt sein sollte, die Einwilligung eines Mitarbeitenden aber jederzeit widerrufbar sein muss, um überhaupt als Rechtsgrundlage für die Datenverarbeitung von personenbezogenen Mitarbeiterdaten zu dienen (Art. 7 Abs. 3 DSGVO, § 26 Abs. 2 Satz 3 BDSG).
Nach Widerruf(en) müsste dann für diese Mitarbeitenden die Arbeitszeit wieder mit anderen Mitteln erfasst werden. Eine, aus Sicht des Arbeitgebers, wenig zufriedenstellende Aussicht.

Erforderlichkeit und Interessenabwägung:

Die Verarbeitung muss (wenn kein Einwilligung vorliegt) erforderlich sein, „damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann“ (Art. 9 Abs. 2 b) DSGVO), und „kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.“ (§ 26 Abs. 3 BDSG).
Hier werden also zum Schutz der betroffenen Beschäftigten bei der Verwendung ihrer biometrischen Daten durch den Arbeitgeber sehr hohe Hürden errichtet: Er muss nachvollziehbar begründen können, warum andere Zeiterfassungsmethoden, die ohne biometrische Daten auskommen, für seine (legitimen) Zwecke nicht ausreichen und dass diese Zwecke die Schutzbelange der Mitarbeitenden überwiegen. Dies dürfte nur in seltenenAusnahmefällen zutreffen.

Genügt die gesetzliche Anordnung der Arbeitszeiterfassung durch den EuGH als solche bereits zur Begründung der Erforderlichkeit?

In dem erwähnten Urteil jedenfalls hat das Gericht dies nicht für ausreichend erklärt:

„Erforderlich“ ist ein technisches System, das das Persönlichkeitsrecht eines Menschen berührt, nur dann, wenn ein legitimer Zweck verfolgt wird und zur Erreichung dieses Zwecks kein gleich wirksames und das Persönlichkeitsrecht weniger einschränkende Mittel zur Verfügung steht." (BAG vom 25. April 2017 – 1 ABR 46/15)

Auch das EuGH-Urteil zur Arbeitszeiterfassung verlangt nicht an sich zwingend die Verarbeitung biometrischer Daten um z. B. eine hinreichende Verlässlichkeit der Datenerhebung zu erreichen, wie das Gericht weiter ausführt:

„Es ist aber nicht ersichtlich, dass ein objektives, verlässliches und zugängliches System der Verarbeitung biometrischer Daten“ von Mitarbeitenden „bedarf.“

In der Rd.-Nr. 63 der EuGH-Entscheidung vom 14. Mai 2019 hat der Gerichtshof ausdrücklich auf die Rd.-Nrn. 85-88 der Schlussanträge des Generalanwalts Bezug genommen. Dieser hat dort in Rd.-Nr. 87 ausdrücklich ausgeführt:

"Insoweit ist darauf hinzuweisen, dass die derzeitige Technologie die verschiedensten Systeme zur Erfassung der Arbeitszeit ermöglicht (Aufzeichnungen in Papierform, Computerprogramme, elektronische Zeitausweise).“

Das LArbG zeigt also zu Recht auf, dass das EuGH-Urteil zur Arbeitszeiterfassung nicht zwingend biometrische Verfahren verlangt, sondern natürlich auch andere Methoden der Zeiterfassung statthaft sind. Es müssen demnach für die Erforderlichkeit noch weitere Argumente hinzukommen, von denen hier einige beispielhaft angesprochen werden:

• Genügt ein Risiko für sensible Gesundheitsdaten z. B. in einer Arztpraxis zur Begründung der Erforderlichkeit?
  
  Das LArbG hat verneint, dass der Schutz solcher Daten in einer Arztpraxis die Zugangskontrolle mit Hilfe biometrischer Daten erforderlich macht:
  
  „Abgesehen davon, dass die Beklagte keinerlei Tatsachen vorgetragen hat, nach denen der Kläger oder andere Mitarbeitende ein Risiko für sensible Gesundheitsdaten der Patienten darstellen würden, ist davon auszugehen, dass die Beklagte die Gesundheitsdaten der Patienten, die ebenso wie die biometrischen Daten des Klägers als besondere Kategorien von Art. 9 DSGVO erfasst sind, nicht offen in den Praxisräumen verwahrt, sondern diese auch noch gegen unberechtigte Zugriffe innerhalb der Praxisräume gesichert hat. Aber auch unabhängig davon erschließt sich nicht, inwiefern ein fälschungssicheres Zeiterfassungssystem die Patientendaten in den Praxisräumen besonders schützen würde.“
  
  Vor dem Grundrechtseingriff durch die Kontrolle der Mitarbeitenden unter Einsatz von biometrischen Daten steht also die ohnehin nach der DSGVO gegebene Pflicht, diese Gesundheitsdaten besonders vor unberechtigtem Zugriff innerhalb der Geschäftsräume zu schützen. Es müsste also nachgewiesen werden, dass zu erwarten sein wird, dass der Einsatz von biometrischen Daten zur Kontrolle des Zugangs allein dazu führt, dass die unberechtigte Einsichtnahme in Gesundheitsakten durch Mitarbeitende, die sich nach Überwindung der Kontrolle bereits in den Räumen befinden, verhindert wird. Dies dürfte kaum gelingen.
  
  
• Genügt die Absicht Manipulationen bei der Zeiterfassung auszuschließen zur Begründung der Erforderlichkeit?
  
  Hier müsste der Arbeitgeber nachweisen, dass ein erhebliches Ausmaß an solchen Manipulationsversuchen vorliegt. Und dass nur das biometrische Verfahren geeignet ist, diese
  auszuschließen. Das LArbG führt hierzu aus:
  
  „Das elektronische System „ZEUS“ der Firma I. GmbH speichert auch ohne biometrische Daten des Klägers soweit ersichtlich die jeweiligen Buchungen, so dass jederzeit nachvollziehbar ist, wann welche Erfassung vorgenommen worden ist.“
  
  Wenn also wie hier anderweitige Möglichkeiten gegeben sind, um Manipulationen zu verhindern, sind diese auch zu nutzen. Dem ist zuzustimmen.
  
  
• Genügt die Möglichkeit, dass Anwesenheit vorgetäuscht wird zur Begründung der Erforderlichkeit?
  
  Auch hier gilt das eben Gesagte, wie das LArbG ausführt:
  
  „Wenn aber für die Aufdeckung von Straftaten [gemeint ist Arbeitszeitbetrug – Anmerkung des Autors] entsprechend § 26 Abs. 1 Satz 2 BDSG personenbezogene Daten von Beschäftigten nur verarbeitet werden dürfen, wenn „zu dokumentierende tatsächliche Anhaltspunkte“ den Verdacht begründen, muss das erst recht für den Fall gelten, dass zur Vermeidung von Straftaten eine ständige Verarbeitung besonders geschützter biometrischer Beschäftigtendaten erfolgen soll. Dieser Grundrechtseingriff ist aufgrund der Festlegung in Art. 9 DSGVO von hoher Intensität und kann bereits als solcher unverhältnismäßig sein, wenn der Eingriffsanlass kein hinreichendes Gewicht aufweist.“
  
  Es muss also ein erheblicher Täuschungsumfang nachgewiesen werden, und dargelegt werden, dass die Anwendung biometrischer Systeme die einzige Möglichkeit der Verhinderung darstellt, bevor solche Systeme zur Verhinderung weiterer Täuschungen überhaupt in Betracht kommen.

Weitere Begründungen für eine Erforderlichkeit sind grundsätzlich denkbar, müssen sich jedoch an den beschriebenen Anforderungen messen lassen.

Genügt die Zustimmung des Betriebsrates zur Begründung einer Rechtsgrundlage durch kollektivrechtliche Vereinbarung?

Das BDSG sieht als Rechtsgrundlage zur Verarbeitung von biometrischen Daten auch eine sogenannte Kollektivvereinbarung vor, also eine Betriebsvereinbarung zwischen Betriebsrat und Arbeitgeber: § 26 Abs. 4 BDSG.

„Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.“

Der Verweis auf Artikel 88 Absatz 2 bedeutet, dass auch bei einer Kollektivvereinbarung „die Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“ gewahrt sein müssen.

Im Ergebnis kann also auch eine Betriebsvereinbarung keinen Eingriff in elementare Grundrechte der Mitarbeitenden legitimieren, welcher ein biometrisches Verfahren zweifellos darstellt. Sie könnte lediglich dort ergänzend vereinbart werden (um Details der Verarbeitung zu regeln), wo ohnehin ein legitimes überwiegendes Interesse des Arbeitgebers an der Verarbeitung gegeben ist (Beispiel siehe unter Fazit Nr. 5).

Fazit

Es bleibt also festzuhalten, dass für die Arbeitszeiterfassung unter Zuhilfenahme biometrischer Daten im Hinblick auf die derzeitige Rechtslage nur wenig Raum bleibt:

1. Die Einwilligung als Rechtsgrundlage ist zwar grundsätzlich möglich, aber aus Sicht des Arbeitgebers nicht wirklich zielführend.
   
   
2. Die Erforderlichkeit setzt voraus, dass geradezu zwingend und legitimerweise kein weniger in das Grundrecht auf informationelle Selbstbestimmung der Mitarbeitenden eingreifendes Instrument zur Arbeitszeiterfassung aus Sicht des Arbeitgebers zur Verfügung steht, als eben die Verarbeitung von biometrischen Daten. Dies dürfte kaum der Fall sein.
   
   
3. Und selbst dann, wenn dies der Fall sein sollte, wäre noch eine Abwägung gegen die schutzwürdigen Belange der betroffenen Mitarbeitenden erforderlich. Diese müsste zweifelsfrei ergeben, dass die Interessen des Arbeitgebers vor dem Eingriff in das Grundrecht auf informationelle Selbstbestimmung der Mitarbeitenden vorrangig sind. Hier ist auch eine detaillierte Risikoabschätzung und eine Datenschutzfolgeabschätzung erforderlich.
   
   
4. Die Zustimmung des Betriebsrates ist hier ebenfalls nicht ausreichend, da diese einen erheblichen Eingriff in Grundrechte nicht legitimiert.
   
   
5. Von der Verwendung biometrischer Systeme zur Erfassung von Arbeitszeiten ist also grundsätzlich abzuraten. Der Gesetzgeber hat zum Schutz der Arbeitnehmer für deren Anwendung sehr hohe Hürden errichtet.
   
   
6. Die Anwendung der Systeme zur Erfassung von biometrischen Daten im Bereich von Beschäftigungsverhältnissen sollte sich auf Bereiche beschränken in denen es z. B. um die Sicherheit der Allgemeinheit (Kernkraftwerke, Forschungseinrichtungen etc.) geht und mit Hilfe dieser Systeme der Zugang zu gefahrenträchtigen und kontrollpflichtigen Örtlichkeiten reglementiert werden soll, nicht aber um die reine Zeiterfassung zu Abrechnungs- oder Nachweiszwecken.

Wir für Sie - die dacuro GmbH

Sie beabsichtigen eine Datenverabeitung und sind sich nicht sicher, ob die Verarbeitung datenschutzkonform ist oder Sie die Daten überhaupt auf diese Art und Weise verarbeiten dürfen? Dann sind wir genau der richtige Ansprechparter: das Team der dacuro GmbH besteht aus unterschiedlichen Mitarbeitern, deren Fachkenntnisse in alle Bereiche des Datenschutzes reichen. Wir bearbeiten nicht nur die klassischen Datenschutzthemen, sondern sind auch in der Lage, juristische oder technische Einschätzungen im Datenschutz zu geben, da unser Team aus verschiedenen Spezialisten in allen Bereichen stammt. Wir unterstützen Sie nicht nur beim Basis-Datenschutz, helfen Ihnen Ihre Verzeichnisse der Verarbeitungstätigkeiten zu erstellen und prüfen Ihre AV-Verträge, wir prüfen auch Webseiten, Apps oder neue Software auf Datenschutzkonformität (privacy by design & privacy by default). Zudem Schulen wir sowohl unsere Kunden als auch externe Teilnehmer im Datenschutz. Sie haben eine Herausforderung? Wir lösen Sie gemeinsam mit Ihnen. Sprechen Sie uns an, wir freuen uns.