Aktuelles:

Schau mir nicht in die Augen, Arbeitgeber! – Arbeitszeiterfassung mit Hilfe von Iriserkennung oder Fingerprint ist nur mit Einwilligung des Arbeitnehmers zulässig

18. Mai 2020

Spätestens seit der Entscheidung des EuGH (Urteil vom 14. Mai 2019, C-55/18) zur Arbeitszeiterfassung gewinnt die Thematik mehr und mehr an Bedeutung. Nach der Entscheidung des EuGH müssen die EU-Staaten die Arbeitgeber zu einer objektiven, verlässlichen und zugänglichen Arbeitszeiterfassung verpflichten. Eine nationale Umsetzung gibt es in Deutschland bislang dazu nicht. Das Arbeitsgericht Berlin hat in seinem Urteil vom 16. Oktober 2019 (29 Ca 5451/19, noch nicht rechtskräftig) entschieden, dass die Arbeitszeiterfassung durch ein Zeiterfassungssystem mittels Fingerprint nicht erforderlich im Sinne des § 26 Abs. 1 BDSG ist und damit ohne Einwilligung der betroffenen Person nicht zulässig ist.

Der Sachverhalt:

Der in dem Rechtsstreit beklagte Arbeitgeber führte ein neues Zeiterfassungssystem ein. Zuvor wurden die Arbeitszeiten händisch im Dienstplan erfasst, ohne dass eine Kontrolle der eingetragenen Zeiten stattfand. Das neue System funktionierte so, dass die Zeiterfassung mittels Fingerprint erfolgt. Diese Art von Zeiterfassung soll verhindern, dass andere Mitarbeiter für ihre Kollegen „mitstempeln“ und hierdurch Arbeitszeitbetrug begehen. Hierzu werden aus dem Fingerabdruck des Mitarbeiters zunächst sog. Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerprints des Mitarbeiters bei der An- und Abmeldung verwendet. Der Fingerprint des Mitarbeiters wird grundsätzlich nicht gespeichert. Aus dem gespeicherten Minutiendatensatz kann der Fingerprint des Mitarbeiters nicht wieder generiert werden. Der Kläger erteilte keine Einwilligung zur Nutzung des neuen Zeiterfassungssystems. Daraufhin mahnte der Arbeitgeber ihn wegen der Verweigerung der Nutzung des Zeiterfassungssystems zwei Mal ab. Der Kläger begehrte mit seiner Klage die Entfernung der streitgegenständlichen Abmahnungen aus seiner Personalakte.

Die Entscheidung:

Das Arbeitsgericht Berlin gab dem Kläger Recht. Es entschied, dass der Kläger nicht verpflichtet sei, das neue Zeiterfassungssystem mit Fingerprint zu nutzen.

Datenschutzrechtlich handelt es sich bei dem Minutiendatensatz um biometrische Daten nach Art. 9 Abs. 1 DSGVO und um besondere Kategorien personenbezogener Daten gemäß § 26 Abs. 3 BDSG. Die Verarbeitung dieser Daten ist daher grundsätzlich untersagt, sofern keine entsprechende Kollektivvereinbarung oder die Einwilligung eines jeden Mitarbeiters vorliegt, oder die Verarbeitung im datenschutzrechtlichen Sinne erforderlich ist. Im streitgegenständlichen Fall fehlte es an einer entsprechenden Kollektivvereinbarung und der Kläger willigte auch nicht in die Datenverarbeitung ein. Es war daher zu prüfen, ob die Verarbeitung biometrischer Daten für die Zwecke des Beschäftigungsverhältnisses erforderlich im Sinne des § 26 Abs. 1 BDSG ist.

Das Gericht entschied, dass das betroffene Persönlichkeitsrecht des Arbeitnehmers Vorrang vor dem Interesse des Arbeitgebers an einer biometrischen Zeiterfassungskontrolle hat. Der Arbeitgeber habe in dem streitgegenständlichen Fall weder dazu vorgetragen, dass es bereits zu erheblichem oder nennenswertem Missbrauch des bestehenden Systems gekommen sei, noch dazu, dass dies zu befürchten sei. Damit fehle es an Umständen, die die Erforderlichkeit einer solchen Maßnahme begründen können.

Ferner sei, so das Gericht, in der Regel davon auszugehen, dass sich die Mehrheit der Arbeitnehmer rechtstreu verhalte. Der Arbeitgeber war daher verpflichtet die Abmahnungen aus der Personalakte zu entfernen. Der klagende Mitarbeiter muss das Zeiterfassungssystem nun solange nicht benutzen, bis er hierin eingewilligt hat oder eine Kollektivvereinbarung hierzu abgeschlossen wurde.

Praxishinweis:

Das Arbeitsgericht Berlin setzt damit hohe Anforderungen an die Verarbeitung biometrischer Daten, auch bei Zeiterfassungssystemen. Biometrische Zeiterfassungssysteme sind damit aber nicht per se unzulässig. Es müssen jedoch gewichtige Gründe für den Einsatz vorliegen.  Ein gewichtiger Grund kann dabei beispielsweise der Missbrauch des bestehenden Systems darstellen. Ob im jeweiligen Unternehmen hinreichend Gründe für die Einführung eines biometrischen Zeiterfassungssystems vorliegen, muss jedes Unternehmen individuell für sich bewerten. Arbeitgeber müssen im Fall der Einführung von biometrischen Zeiterfassungssystemen zuvor die Einwilligung der betroffenen Arbeitnehmer/-innen einholen, oder eine entsprechende Betriebsvereinbarung dazu abschließen. Hinsichtlich der Einwilligung des Arbeitnehmers ist zu beachten, dass diese nur wirksam ist, wenn sie freiwillig erteilt wird. Bei der Beurteilung der Freiwilligkeit sind insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit des Arbeitnehmers sowie die Umstände, unter denen die Einwilligung erteilt wird, zu berücksichtigen. Dabei sind insbesondere die Art der verarbeiteten Daten, die Eingriffstiefe und der Zeitpunkt der Einwilligungserklärung relevant. Vor Abschluss eines Arbeitsvertrags ist der Beschäftigte regelmäßig höherem Druck ausgesetzt, als im laufenden Arbeitsverhältnis. Nach § 26 Abs. 2 S. 2 BDSG kann Freiwilligkeit insbesondere dann vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Dies dürfte in Fällen der Einführung biometrischer Zeiterfassungssysteme nicht ohne Weiteres der Fall sein. Ferner muss sich in Fällen der Verarbeitung besonderer Kategorien personenbezogener Daten die Einwilligung ausdrücklich auf die jeweiligen Daten der besonderen Kategorien beziehen, § 26 Abs. 3 S. 2 BDSG.  In jedem Fall ist das Mitbestimmungsrecht des Betriebsrats, sofern vorhanden, aus § 87 Abs. 1 Nr. 6 BetrVG zu beachten. Ferner sollte im Falle der Einführung eines solchen Systems geprüft werden, ob die vorhandenen technischen und organisatorischen Maßnahmen zum Schutz der Daten, auch für die Verarbeitung von biometrischen Daten ausreichend sind. Sofern dies nicht der Fall ist, müssten diese ebenfalls entsprechend angepasst werden. Vor der Einführung eines solchen Zeiterfassungssystems muss zudem eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO durchgeführt werden. Bei der Einführung ist schließlich der Datenschutzbeauftragte des Unternehmens mit einzubeziehen.