open search
close
  • Suche
    • Autoren Über uns Kliemt.de Home
    Arbeitsrecht 4.0 Arbeitszeit Compliance Datenschutz Legal Tech

    Zeiterfassung mittels Fingerprint – datenschutzrechtliche Hürden!

    Print Friendly, PDF & Email
    Fingerprint

    Die elektronische Erfassung der täglichen Arbeitszeit ist in vielen Unternehmen gängige Praxis und gewinnt aufgrund der Schlussanträge des Generalanwalts am Europäischen Gerichtshof Giovanni Pitruzzella v. 31.01.2019 (C-55/18 EuGH) wieder an Brisanz. So sollen Arbeitgeber nach Auffassung des Generalanwalts – entgegen § 16 Abs. 2 Arbeitszeitgesetz – stets verpflichtet sein, ein System zur Erfassung der täglichen effektiven Arbeitszeit ihrer Mitarbeiter einzuführen.

    Erfolgte die Zeiterfassung früher üblicherweise analog mittels Stechuhr, ist heute eine digitale Zeiterfassung, z.B. über softwarebasierte oder webbasierte Zeiterfassungssysteme, teilweise auch per Smartphone oder Tablet, die Regel. Relativ neu ist die digitale Zeiterfassung mittels Fingerprint. Diese Form der Arbeitszeiterfassung soll u.a. verhindern, dass Mitarbeiter für Kollegen „mitstempeln“ und hierdurch Arbeitszeitbetrug begehen. Aus Arbeitgebersicht ist eine Arbeitszeiterfassung mittels Fingerprint daher durchaus interessant. Sie stellt den Arbeitgeber jedoch vor erhebliche – wenn auch nicht unüberwindbare – Hürden, insbesondere aufgrund der seit 2018 geltenden Datenschutzgrundverordnung (DSGVO).

    Extrahierung, Speicherung und Verwendung von Minutien

    Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit dem im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutien-Datensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutien-Datensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.

    Besonders zu schützende biometrische Daten

    Datenschutzrechtlich handelt es sich bei dem Minutien-Datensatz um biometrische Daten nach Art. 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten i.S.v. § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung in besonderem Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutien-Datensätzen – ist daher nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Allerdings enthält Art. 9 Abs. 2 DSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „freiwillige Einwilligung“ und „Kollektivvereinbarung“.

    Erforderlichkeit der Zeiterfassung mittels Fingerprint

    Der Arbeitgeber hat ein berechtigtes betriebliches Interesse daran, die tatsächlich geleisteten Arbeitszeiten seiner Mitarbeiter zu erfassen, u.a. zur Durchführung der Lohnabrechnung und zur Erfüllung gesetzlicher Aufzeichnungspflichten. Ob die Interessen des Arbeitgebers ausreichen, eine Arbeitszeiterfassung mittels Fingerprint zu legitimieren, d.h. diese Form der Arbeitszeiterfassung erforderlich i.S.d. des Art. 9 Abs. 2 lit. b) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 1 BDSG ist, muss immer im Einzelfall anhand der konkreten Umstände geprüft werden.

    Einwilligung

    Wer sich nicht auf eine etwaige Erforderlichkeit verlassen will, kann als vermeintlich sichere Gestaltungsform die Einwilligung des Mitarbeiters gem. 9 Abs. 2 lit. a) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 2 BDSG einholen. Die Legitimation durch Einwilligung birgt jedoch nicht unerhebliche Risiken. So stellt die DSGVO an die Wirksamkeit der Einwilligung strenge Voraussetzungen. Die Einwilligung muss vor Implementierung der Maßnahme aktiv und unmissverständlich eingeholt werden. Damit der Mitarbeiter eine „informierte Entscheidung“ treffen kann, ist dem Mitarbeiter zwingend mitzuteilen, zu welchem Zweck und wie die Verarbeitung erfolgen soll. Der Mitarbeiter ist umfassend zu informieren. Besonders problematisch ist, dass die Einwilligung „freiwillig“ erfolgen muss. Freiwillig soll die Einwilligung nur dann sein, wenn dem Mitarbeiter aus einer Verweigerung keine Nachteile erwachsen. Dem Mitarbeiter müssen daher zumindest Alternativen zu der geplanten Art der Verarbeitung aufgezeigt werden, z.B. die Zeiterfassung mittels Chipkarte. In der Literatur wird jedoch vermehrt vertreten, dass sich Mitarbeiter so gut wie nie in der Position befänden, eine Einwilligung freiwillig zu erteilen, verweigern oder widerrufen zu können. Von einer Freiwilligkeit könne man daher nur in besonderen Ausnahmefällen ausgehen.

    Vorrats-Einwilligung zulässig?

    Streitig und höchstrichterlich noch nicht geklärt ist, ob im Falle einer nicht wirksamen oder widerrufenen Einwilligung auf den gesetzlichen Erlaubnistatbestand der Erforderlichkeit zurückgegriffen werden kann. Dies wird in der arbeitsrechtlichen und datenschutzrechtlichen Literatur teilweise verneint. Im Falle einer (unwirksamen) Einwilligung sei dem Arbeitgeber der Rückgriff auf andere Erlaubnistatbestände versperrt. Auch vor diesem Hintergrund sollten Arbeitgeber nicht vorschnell zum Mittel der Einwilligung greifen.

    Kollektivvereinbarung / Mitbestimmung des Betriebsrates

    Unter Umständen haben es Arbeitgeber mit Betriebsräten leichter. So bietet ihnen das Gesetz (Art. 9 Abs. 2 lit. b) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 2 BDSG) grundsätzlich die Möglichkeit, die Einführung der Zeiterfassung mittels Fingerprint durch Abschluss einer Betriebsvereinbarung zu legitimieren. Zum Abschluss einer entsprechenden Betriebsvereinbarung ist der Arbeitgeber ohnehin aufgrund der Mitbestimmungsrechte des Betriebsrats nach §§ 87 Abs. 1 Nr. 1 und 6 BetrVG verpflichtet.

    Vorsicht vor unbedachter Einführung!

    Ob die Zeiterfassung mittels Fingerprint rechtlich möglich ist und welche Fallstricke der Arbeitgeber vor deren Einführung zu überwinden hat, muss immer im Einzelfall anhand der konkreten Umstände geprüft werden. Ohne fachkundige Unterstützung dürfte die Einführung eines entsprechenden Zeiterfassungssystems oftmals nicht (zumindest nicht ohne erhebliche Risiken) gelingen. Vor einer unbedachten Einführung der Zeiterfassung mittels Fingerprint kann im Hinblick auf die exorbitanten Bußgelder (bis zu 20 Millionen EUR oder im Falle eines Unternehmens von bis zu 4 % des weltweiten Jahresumsatzes des vorangegangen Geschäftsjahrs) nur ausdrücklich gewarnt werden.

    KLIEMT.Arbeitsrecht



    Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 90 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
    Verwandte Beiträge
    BEM Individualarbeitsrecht

    BEM-Einladungsschreiben – keine reine Formalität!

    Die Durchführung eines betrieblichen Eingliederungsmanagements („BEM“) ist in den meisten Fällen Wirksamkeitsvoraussetzung für eine krankheitsbedingte Kündigung. Das BEM gehört also zum Standardprozess. Doch bereits ein fehlerhaftes Einladungsschreiben zum BEM kann diesen Prozess zunichtemachen. Und das nicht nur, wenn der Arbeitnehmer das BEM abgelehnt hat, sondern auch wenn es tatsächlich durchgeführt wurde. In diesem Beitrag sollen daher wichtige Aspekte aufgegriffen werden, die bei der Erstellung des…
    Datenschutz Neueste Beiträge

    Erste europäische Richtlinie zur Nutzung von Künstlicher Intelligenz und Datenschutz

    Der European Data Protection Supervisor („EDPS“) hat in seiner Funktion als Datenschutzbehörde am 3. Juni 2024 erstmalig eine Richtlinie für den richtigen Umgang mit Datenschutz im Zusammenhang mit der Nutzung von generativen KI-Systemen veröffentlicht. Vorrangig richtet sich die Richtlinie an EU-Institutionen und soll eine Orientierungshilfe zur Einhaltung der EU-DSVO sein. Die EU-DSVO findet speziell für die Verarbeitung von personenbezogenen Daten durch EU-Institutionen Anwendung, während die…
    Arbeitszeit & Arbeitszeiterfassung Neueste Beiträge

    Dürfen Roboter sonntags arbeiten?

    Am Sonntag schnell noch für den Grill- oder Fußballabend einkaufen – das ist in vielen Ländern möglich, in Deutschland noch eine Wunschvorstellung. Einige Unternehmen und Start-ups wollen es ermöglichen, auch in Deutschland sonntags für den täglichen Bedarf einzukaufen. Doch sie dürften an den Verwaltungsgerichten scheitern. Die Sonntagsruhe gelte auch für Selbstbedienungssupermärkte, entschied kürzlich der Verwaltungsgerichtshof Hessen und legt damit das Gesetz konservativ aus. Sonntagsruhe zur…
    Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
    Jetzt anmelden und informiert bleiben.

     

    Die Abmeldung ist jederzeit möglich.