open search
close
Arbeitsrecht 4.0 Arbeitszeit Compliance Datenschutz Legal Tech

Zeiterfassung mittels Fingerprint – datenschutzrechtliche Hürden!

Print Friendly, PDF & Email
Fingerprint

Die elektronische Erfassung der täglichen Arbeitszeit ist in vielen Unternehmen gängige Praxis und gewinnt aufgrund der Schlussanträge des Generalanwalts am Europäischen Gerichtshof Giovanni Pitruzzella v. 31.01.2019 (C-55/18 EuGH) wieder an Brisanz. So sollen Arbeitgeber nach Auffassung des Generalanwalts – entgegen § 16 Abs. 2 Arbeitszeitgesetz – stets verpflichtet sein, ein System zur Erfassung der täglichen effektiven Arbeitszeit ihrer Mitarbeiter einzuführen.

Erfolgte die Zeiterfassung früher üblicherweise analog mittels Stechuhr, ist heute eine digitale Zeiterfassung, z.B. über softwarebasierte oder webbasierte Zeiterfassungssysteme, teilweise auch per Smartphone oder Tablet, die Regel. Relativ neu ist die digitale Zeiterfassung mittels Fingerprint. Diese Form der Arbeitszeiterfassung soll u.a. verhindern, dass Mitarbeiter für Kollegen „mitstempeln“ und hierdurch Arbeitszeitbetrug begehen. Aus Arbeitgebersicht ist eine Arbeitszeiterfassung mittels Fingerprint daher durchaus interessant. Sie stellt den Arbeitgeber jedoch vor erhebliche – wenn auch nicht unüberwindbare – Hürden, insbesondere aufgrund der seit 2018 geltenden Datenschutzgrundverordnung (DSGVO).

Extrahierung, Speicherung und Verwendung von Minutien

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit dem im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutien-Datensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutien-Datensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.

Besonders zu schützende biometrische Daten

Datenschutzrechtlich handelt es sich bei dem Minutien-Datensatz um biometrische Daten nach Art. 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten i.S.v. § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung in besonderem Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutien-Datensätzen – ist daher nach Art. 9 Abs. 1 DSGVO grundsätzlich verboten. Allerdings enthält Art. 9 Abs. 2 DSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „freiwillige Einwilligung“ und „Kollektivvereinbarung“.

Erforderlichkeit der Zeiterfassung mittels Fingerprint

Der Arbeitgeber hat ein berechtigtes betriebliches Interesse daran, die tatsächlich geleisteten Arbeitszeiten seiner Mitarbeiter zu erfassen, u.a. zur Durchführung der Lohnabrechnung und zur Erfüllung gesetzlicher Aufzeichnungspflichten. Ob die Interessen des Arbeitgebers ausreichen, eine Arbeitszeiterfassung mittels Fingerprint zu legitimieren, d.h. diese Form der Arbeitszeiterfassung erforderlich i.S.d. des Art. 9 Abs. 2 lit. b) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 1 BDSG ist, muss immer im Einzelfall anhand der konkreten Umstände geprüft werden.

Einwilligung

Wer sich nicht auf eine etwaige Erforderlichkeit verlassen will, kann als vermeintlich sichere Gestaltungsform die Einwilligung des Mitarbeiters gem. 9 Abs. 2 lit. a) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 2 BDSG einholen. Die Legitimation durch Einwilligung birgt jedoch nicht unerhebliche Risiken. So stellt die DSGVO an die Wirksamkeit der Einwilligung strenge Voraussetzungen. Die Einwilligung muss vor Implementierung der Maßnahme aktiv und unmissverständlich eingeholt werden. Damit der Mitarbeiter eine „informierte Entscheidung“ treffen kann, ist dem Mitarbeiter zwingend mitzuteilen, zu welchem Zweck und wie die Verarbeitung erfolgen soll. Der Mitarbeiter ist umfassend zu informieren. Besonders problematisch ist, dass die Einwilligung „freiwillig“ erfolgen muss. Freiwillig soll die Einwilligung nur dann sein, wenn dem Mitarbeiter aus einer Verweigerung keine Nachteile erwachsen. Dem Mitarbeiter müssen daher zumindest Alternativen zu der geplanten Art der Verarbeitung aufgezeigt werden, z.B. die Zeiterfassung mittels Chipkarte. In der Literatur wird jedoch vermehrt vertreten, dass sich Mitarbeiter so gut wie nie in der Position befänden, eine Einwilligung freiwillig zu erteilen, verweigern oder widerrufen zu können. Von einer Freiwilligkeit könne man daher nur in besonderen Ausnahmefällen ausgehen.

Vorrats-Einwilligung zulässig?

Streitig und höchstrichterlich noch nicht geklärt ist, ob im Falle einer nicht wirksamen oder widerrufenen Einwilligung auf den gesetzlichen Erlaubnistatbestand der Erforderlichkeit zurückgegriffen werden kann. Dies wird in der arbeitsrechtlichen und datenschutzrechtlichen Literatur teilweise verneint. Im Falle einer (unwirksamen) Einwilligung sei dem Arbeitgeber der Rückgriff auf andere Erlaubnistatbestände versperrt. Auch vor diesem Hintergrund sollten Arbeitgeber nicht vorschnell zum Mittel der Einwilligung greifen.

Kollektivvereinbarung / Mitbestimmung des Betriebsrates

Unter Umständen haben es Arbeitgeber mit Betriebsräten leichter. So bietet ihnen das Gesetz (Art. 9 Abs. 2 lit. b) DSGVO i.V.m. Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 3 S. 2 BDSG) grundsätzlich die Möglichkeit, die Einführung der Zeiterfassung mittels Fingerprint durch Abschluss einer Betriebsvereinbarung zu legitimieren. Zum Abschluss einer entsprechenden Betriebsvereinbarung ist der Arbeitgeber ohnehin aufgrund der Mitbestimmungsrechte des Betriebsrats nach §§ 87 Abs. 1 Nr. 1 und 6 BetrVG verpflichtet.

Vorsicht vor unbedachter Einführung!

Ob die Zeiterfassung mittels Fingerprint rechtlich möglich ist und welche Fallstricke der Arbeitgeber vor deren Einführung zu überwinden hat, muss immer im Einzelfall anhand der konkreten Umstände geprüft werden. Ohne fachkundige Unterstützung dürfte die Einführung eines entsprechenden Zeiterfassungssystems oftmals nicht (zumindest nicht ohne erhebliche Risiken) gelingen. Vor einer unbedachten Einführung der Zeiterfassung mittels Fingerprint kann im Hinblick auf die exorbitanten Bußgelder (bis zu 20 Millionen EUR oder im Falle eines Unternehmens von bis zu 4 % des weltweiten Jahresumsatzes des vorangegangen Geschäftsjahrs) nur ausdrücklich gewarnt werden.

KLIEMT.Arbeitsrecht




Wir sind Deutsch­lands führende Spe­zi­al­kanz­lei für Arbeits­recht (bereits vier Mal vom JUVE-Handbuch als „Kanzlei des Jahres für Arbeitsrecht“ ausgezeichnet). Rund 70 erst­klas­sige Arbeits­rechts­exper­ten beraten Sie bundesweit von unseren Büros in Düs­sel­dorf, Berlin, Frankfurt, München und Hamburg aus. Kompetent, persönlich und mit Blick für das Wesent­li­che. Schnell und effektiv sind wir auch bei komplexen und grenz­über­schrei­ten­den Projekten: Als einziges deutsches Mitglied von Ius Laboris, der weltweiten Allianz der führenden Arbeitsrechtskanzleien bieten wir eine erstklassige globale Rechtsberatung in allen HR-relevanten Bereichen.
Verwandte Beiträge
Individualarbeitsrecht Neueste Beiträge Vergütung

Alles bleibt beim Alten: Überstunden muss weiterhin der Arbeitnehmer beweisen

Macht ein Arbeitnehmer die Auszahlung von Überstunden geltend, so muss er weiterhin beweisen, dass diese durch den Arbeitgeber angeordnet oder gebilligt wurden und der Arbeitnehmer diese auch tatsächlich erbracht hat. Hieran ändere auch das sog. Stechuhr-Urteil des EuGH vom 14. Mai 2019 nichts, entschied das Bundesarbeitsgericht in einem kürzlich von ihm behandelten Fall. In seinem als „Stechuhr-Urteil“ bekannt gewordenen Urteil hatte der EuGH am 14. Mai 2019…
Compliance Neueste Beiträge Whistleblowing & Investigations

Internal Investigations: Kostenersatz bei Compliance-Untersuchungen

Sofern gegen einen Arbeitnehmer der Verdacht besteht, gegen Compliance-Vorschriften verstoßen oder eine erhebliche Verfehlung begangen zu haben, sind vom Arbeitgeber entsprechende unternehmensinterne Untersuchungen einzuleiten. Diese sog. Internal Investigations gewinnen in der Praxis immer größere Bedeutung, sie haben jedoch auch ihren Preis. Da viele Unternehmen keine Erfahrungen mit solchen Situationen haben, werden häufig externe Spezialisten, wie etwa Detektive oder spezialisierte Anwaltskanzleien hinzugezogen, um die Verdachtsmomente umfassend…
Datenschutz Neueste Beiträge

Kann der Auskunftsanspruch nach Art. 15 DS-GVO rechtsmissbräuchlich sein? Ja, sagt das LAG Sachsen!

Das LAG Sachsen hat entschieden, dass ein Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ausscheidet, wenn das Auskunftsbegehren rechtsmissbräuchlich ist. Anlass der Entscheidung war, dass ein Arbeitnehmer während eines laufenden Rechtsstreits gegen den Arbeitgeber Auskunftsansprüche geltend machte. Diese Informationen wollte der Arbeitnehmer gegen den Arbeitgeber verwenden, um seine behaupteten Überstunden beweisen zu können. Das LAG urteilte, dass dieser Zweck nicht von der DS-GVO gedeckt und…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert