open search
close
Arbeitsrecht 4.0 Arbeitszeit Compliance Datenschutz Legal Tech

Zeiterfassung mittels Fingerprint – datenschutzrechtliche Hürden!

Print Friendly, PDF & Email
Fingerprint

Die elektronische Erfassung der täglichen Arbeitszeit ist in vielen Unternehmen gängige Praxis und gewinnt aufgrund der Schlussanträge des Generalanwalts am Europäischen Gerichtshof Giovanni Pitruzzella v. 31.01.2019 (C-55/18 EuGH) wieder an Brisanz. So sollen Arbeitgeber nach Auffassung des Generalanwalts – entgegen § 16 Abs. 2 Arbeitszeitgesetz – stets verpflichtet sein, ein System zur Erfassung der täglichen effektiven Arbeitszeit ihrer Mitarbeiter einzuführen.

Erfolgte die Zeiterfassung früher üblicherweise analog mittels Stechuhr, ist heute eine digitale Zeiterfassung, z.B. über softwarebasierte oder webbasierte Zeiterfassungssysteme, teilweise auch per Smartphone oder Tablet, die Regel. Relativ neu ist die digitale Zeiterfassung mittels Fingerprint. Diese Form der Arbeitszeiterfassung soll u.a. verhindern, dass Mitarbeiter für Kollegen „mitstempeln“ und hierdurch Arbeitszeitbetrug begehen. Aus Arbeitgebersicht ist eine Arbeitszeiterfassung mittels Fingerprint daher durchaus interessant. Sie stellt den Arbeitgeber jedoch vor erhebliche – wenn auch nicht unüberwindbare – Hürden, insbesondere aufgrund der seit 2018 geltenden Datenschutzgrundverordnung (DSGVO).

Extrahierung, Speicherung und Verwendung von Minutien

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit dem im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutien-Datensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutien-Datensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.

Besonders zu schützende biometrische Daten

Datenschutzrechtlich handelt es sich bei dem Minutien-Datensatz um biometrische Daten nach Art. 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten i.S.v. § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung in besonderem Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutien-Datensätzen – ist daher nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Allerdings enthält Art. 9 Abs. 2 DSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „freiwillige Einwilligung“ und „Kollektivvereinbarung“.

Erforderlichkeit der Zeiterfassung mittels Fingerprint

Der Arbeitgeber hat ein berechtigtes betriebliches Interesse daran, die tatsächlich geleisteten Arbeitszeiten seiner Mitarbeiter zu erfassen, u.a. zur Durchführung der Lohnabrechnung und zur Erfüllung gesetzlicher Aufzeichnungspflichten. Ob die Interessen des Arbeitgebers ausreichen, eine Arbeitszeiterfassung mittels Fingerprint zu legitimieren, d.h. diese Form der Arbeitszeiterfassung erforderlich i.S.d. des Art. 9 Abs. 2 lit. b) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 1 BDSG ist, muss immer im Einzelfall anhand der konkreten Umstände geprüft werden.

Einwilligung

Wer sich nicht auf eine etwaige Erforderlichkeit verlassen will, kann als vermeintlich sichere Gestaltungsform die Einwilligung des Mitarbeiters gem. 9 Abs. 2 lit. a) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 2 BDSG einholen. Die Legitimation durch Einwilligung birgt jedoch nicht unerhebliche Risiken. So stellt die DSGVO an die Wirksamkeit der Einwilligung strenge Voraussetzungen. Die Einwilligung muss vor Implementierung der Maßnahme aktiv und unmissverständlich eingeholt werden. Damit der Mitarbeiter eine „informierte Entscheidung“ treffen kann, ist dem Mitarbeiter zwingend mitzuteilen, zu welchem Zweck und wie die Verarbeitung erfolgen soll. Der Mitarbeiter ist umfassend zu informieren. Besonders problematisch ist, dass die Einwilligung „freiwillig“ erfolgen muss. Freiwillig soll die Einwilligung nur dann sein, wenn dem Mitarbeiter aus einer Verweigerung keine Nachteile erwachsen. Dem Mitarbeiter müssen daher zumindest Alternativen zu der geplanten Art der Verarbeitung aufgezeigt werden, z.B. die Zeiterfassung mittels Chipkarte. In der Literatur wird jedoch vermehrt vertreten, dass sich Mitarbeiter so gut wie nie in der Position befänden, eine Einwilligung freiwillig zu erteilen, verweigern oder widerrufen zu können. Von einer Freiwilligkeit könne man daher nur in besonderen Ausnahmefällen ausgehen.

Vorrats-Einwilligung zulässig?

Streitig und höchstrichterlich noch nicht geklärt ist, ob im Falle einer nicht wirksamen oder widerrufenen Einwilligung auf den gesetzlichen Erlaubnistatbestand der Erforderlichkeit zurückgegriffen werden kann. Dies wird in der arbeitsrechtlichen und datenschutzrechtlichen Literatur teilweise verneint. Im Falle einer (unwirksamen) Einwilligung sei dem Arbeitgeber der Rückgriff auf andere Erlaubnistatbestände versperrt. Auch vor diesem Hintergrund sollten Arbeitgeber nicht vorschnell zum Mittel der Einwilligung greifen.

Kollektivvereinbarung / Mitbestimmung des Betriebsrates

Unter Umständen haben es Arbeitgeber mit Betriebsräten leichter. So bietet ihnen das Gesetz (Art. 9 Abs. 2 lit. b) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 2 BDSG) grundsätzlich die Möglichkeit, die Einführung der Zeiterfassung mittels Fingerprint durch Abschluss einer Betriebsvereinbarung zu legitimieren. Zum Abschluss einer entsprechenden Betriebsvereinbarung ist der Arbeitgeber ohnehin aufgrund der Mitbestimmungsrechte des Betriebsrats nach §§ 87 Abs. 1 Nr. 1 und 6 BetrVG verpflichtet.

Vorsicht vor unbedachter Einführung!

Ob die Zeiterfassung mittels Fingerprint rechtlich möglich ist und welche Fallstricke der Arbeitgeber vor deren Einführung zu überwinden hat, muss immer im Einzelfall anhand der konkreten Umstände geprüft werden. Ohne fachkundige Unterstützung dürfte die Einführung eines entsprechenden Zeiterfassungssystems oftmals nicht (zumindest nicht ohne erhebliche Risiken) gelingen. Vor einer unbedachten Einführung der Zeiterfassung mittels Fingerprint kann im Hinblick auf die exorbitanten Bußgelder (bis zu 20 Millionen EUR oder im Falle eines Unternehmens von bis zu 4 % des weltweiten Jahresumsatzes des vorangegangen Geschäftsjahrs) nur ausdrücklich gewarnt werden.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 70 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Digitalisierung in Unternehmen Neueste Beiträge

Tipps für die Einführung komplexer IT-Systeme – Teil 1: Workday

Bei der Einführung komplexer IT-Systeme mit umfangreichen Beständen an personenbezogenen Daten ist die Wahrung der betrieblichen Mitbestimmung ein wichtiger Zeit- und Kostenfaktor. Dies gilt regelmäßig auch dann, wenn bereits eine IT-Rahmen-Betriebsvereinbarung vorhanden ist. Die Nutzungszwecke und der Umfang der Verhaltens- und Leistungskontrolle müssen hier von den Betriebsparteien regelmäßig konkret (ggf. in Abweichung von der Rahmenvereinbarung) justiert werden. Wir stellen in einer neuen Reihe von Beiträgen…
Datenschutz Digitalisierung in Unternehmen Neueste Beiträge Video

Politisches Hin und Her um den Beschäftigtendatenschutz

Seit Oktober letzten Jahres hat es diverse Stellungnahmen für und gegen spezielle Regelungen für den Beschäftigtendatenschutz gegeben, die über die jetzige, sehr knapp gefasste Norm des § 26 BDSG hinausgehen sollen. Für solche Regelungen stimmen u.a. die Koalitionsvereinbarung der Regierungsparteien, ein vom BMAS eingesetzter Beirat und der DGB. Gegen weitere Regelungen stimmen die vom BMI durchgeführte Evaluierung des BDSG sowie jüngst ein Antrag des Freistaat…
Betriebsrat Datenschutz Digitalisierung in Unternehmen Neueste Beiträge

Show me what you got? Betriebsrat und Art. 30 DSGVO

Die DSGVO verpflichtet die meisten Arbeitgeber, ein Verzeichnis über Verarbeitungstätigkeiten zu führen. Was aber, wenn der Betriebsrat in laufenden Verhandlungen unter Bezugnahme auf seine Kontrollrechte Einsicht in das Verzeichnis verlangt? Wem gegenüber müssen Unternehmen das sensible Verarbeitungsverzeichnis offenlegen? Ein Überblick. Die Pflicht zur Führung eines Verarbeitungsverzeichnisses Nach Art. 30 Abs. 1 S. 1 DSGVO muss grundsätzlich jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die seiner Zuständigkeit…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert