Biometrische Arbeitszeiterfassung mittels Fingerabdruck
Verantwortliche, die ihre Beschäftigten verpflichten, an Systemen teilzunehmen, welche die Zeit mittels Fingerabdrucks erfassen, um hierdurch Missbrauch und Manipulation zu verhindern, verstoßen gegen die Bestimmungen der DSGVO und müssen daher mit Anordnungen im Sinne des Art. 58 Abs. 2 DSGVO und mit Sanktionen nach Art. 83 Abs. 5 DSGVO rechnen.
Im Berichtszeitraum haben die Aufsichtsbehörde Anfragen und Beschwerden erreicht, die sich mit der Rechtmäßigkeit der Verarbeitung biometrischer Daten im Beschäftigungsverhältnis befassen. So wandten sich schon zu Beginn des Jahres zwei Beschäftigte eines kleinen mittelständischen Unternehmens unabhängig voneinander an den Datenschutz und berichteten von der Nutzung eines Arbeitszeiterfassungssystems mittels Fingerabdrucks im Betrieb ihres Arbeitgebers. Die Beschwerdeführer fragten an, ob der Einsatz eines solchen Systems ohne ihre Einwilligung datenschutzrechtlich zulässig sei.
Die Anfragen der Beschwerdeführer wurden zum Anlass genommen, den Verantwortlichen anzuhören und zur Nutzung des biometrischen Arbeitszeiterfassungssystems in seinem Unternehmen zu befragen. In einem Anhörungsschreiben wurde der Verantwortlichen über die grundsätzlichen Bedenken bezüglich des Einsatzes biometrischer Zeiterfassungssysteme informiert. Er wurde aufgefordert den Zweck und die Rechtsgrundlage für das Datenverarbeitungsverfahren mitzuteilen.
Auf diese Anhörung teilte der Verantwortliche mit, dass er sich für die Einführung des Systems entschieden habe, nachdem es bei dem früher im Einsatz befindlichen Zeiterfassungssystem wiederholt zu Missbrauch und Manipulation durch einzelne Arbeitnehmer gekommen sei. Um hier Abhilfe zu schaffen – was nicht zuletzt im Interesse der rechtstreuen Arbeitnehmer geboten wäre –, sei ein manipulationssicheres System eingeführt worden. Aufgrund des genannten Einsatzzweckes vertrat der Verantwortliche die Auffassung, dass als Rechtsgrundlage Art. 9 Abs. 2 lit. b DSGVO zur Anwendung gelange, da der Einsatz des biometrischen Zeiterfassungssystems zur Ausübung von Rechten aus dem Arbeitsrecht erforderlich sei.
Während des Prüfungsverfahrens zeigte sich, dass der Einsatz des biometrischen Zeiterfassungssystems in der beschriebenen Ausgestaltung gegen die DSGVO verstieß. Dem Verantwortlichen wurde daher mitgeteilt, dass die Behörde beabsichtige, von ihren Befugnissen nach Art. 58 Abs. 2 DSGVO Gebrauch zu machen. Konkret wurde in Betracht gezogen, den Verantwortlichen anzuweisen, das Verarbeitungsverfahren biometrische Arbeitszeiterfassung mittels Fingerabdrucks durch Einholung wirksamer Einwilligungserklärungen der Beschäftigten in Einklang mit der DSGVO zu bringen, vgl. Art. 58 Abs. 2 lit. d DSGVO, oder ein Verbot zu verhängen, vgl. Art. 58 Abs. 2 lit. f DSGVO. Darüber hinaus wurde dem Verantwortlichen mitgeteilt, dass aufgrund der festgestellten Verstöße gegen die Bestimmungen der DSGVO Sanktionen nach Art. 58 Abs. 2 lit. i i.V.m. Art. 83 Abs. 4 lit. a, Abs. 5 lit. a DSGVO zu prüfen sind.
Der Verantwortliche teilte daraufhin mit, dass er das Verarbeitungsverfahren biometrische Arbeitszeiterfassung eingestellt und durch ein RFIDZeiterfassungssystem ersetzt hat.
Der Entscheidung lagen folgende Fragen und Erwägungen zugrunde:
I. Was sind biometrische Daten im Sinne des Art. 4 Ziffer 14 DSGVO und handelt es sich hierbei um besondere personenbezogene Daten im Sinne von Art. 9 DSGVO?
Der Europäische Gesetzgeber hat den Begriff der biometrischen Daten in Art. 4 Ziffer 14 DSGVO definiert. Biometrische Daten sind hiernach mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, welche die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten (Verfahren zur Auswertung von Fingerabdrücken). Typische personenbezogene Merkmale im Sinne von Art. 4 Ziffer 14 DSGVO sind etwa Fingerabdruck, Iris, Netzhaut, Gesicht, Handgeometrie oder auch das Handvenenmuster.
Art. 9 Abs. 1 DSGVO enthält ein generelles Verarbeitungsverbot für besondere Kategorien personenbezogener Daten. Hierunter fallen nach dem Wortlaut der Vorschrift auch die zuvor beschriebenen biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person.
II. Biometrische Arbeitszeiterfassung mittels Fingerabdruck – wie funktioniert das?
Mit dem Begriff des Fingerabdrucks wird der Abdruck der sog. Papillarleisten am Endglied eines Fingers beschrieben. Diese Papillarleisten lassen sich durch verschiedene Merkmale unterscheiden: Grundmuster, grobe Merkmale, feinere Merkmale wie Gabelung und Linienendung (sog. Minuzien) und Porenstruktur.
Aufgrund der verschiedenen Charakteristika sowie ihrer individuellen Verteilung wird von der Einzigartigkeit des Fingerabdrucks jeder Person ausgegangen.
Soll der Fingerabdruck – etwa zur Arbeitszeiterfassung – genutzt werden, bedeutet dies in der Regel, dass mit Hilfe eines Fingerabdrucklesers zunächst eine Fingerabdruckanalyse ausgeführt wird. Hierbei werden die Minuzien herausgefiltert. Die Minuzien werden mittels spezieller Algorithmen in eine mathematische Form gebracht (Merkmalsvektor 1). Der Merkmalsvektor 1 wird anschließend abgespeichert, z.B. in einer Datenbank oder auf einer Chipkarte. Ein konkreter Fingerabdruck ist aus dem Merkmalsvektor 1 nicht mehr rekonstruierbar. Erfolgt anschließend ein erneutes Einlesen des Fingerabdrucks, errechnet das System anhand der Minuzien einen Merkmalsvektor 2 und einen Vergleichswert (Schwellwert) zwischen Merkmalsvektor 1 und 2. Überschreitet der errechnete Vergleichswert der beiden Merkmalsvektoren einen bestimmten Deckungsgrad, wird die Person erkannt und die Aufzeichnung der Arbeitszeit mittels Fingerabdrucks gestartet bzw. beendet.
Ausführliche Informationen zu diesem Thema enthält das Positionspapier zur biometrischen Analyse der Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder vom 03.04.2019, das über die Webseite der DSK hier abgerufen werden kann.
III. Warum verstößt die biometrische Arbeitszeiterfassung mittels Fingerabdrucks in dem zugrundeliegenden Fall gegen die Bestimmungen der DSGVO?
1. Der Erlaubnisvorbehalt und das Verbotsprinzip der DSGVO, vgl. Art. 5 Abs. 1 i.V.m. Art. 6 Abs. 1 DSGVO und Art. 9 Abs. 1 DSGVO
Art. 5 Abs. 1 lit. a bis f DSGVO beschreibt die Grundsätze für die Verarbeitung personenbezogener Daten. Nach Art. 5 Abs. 1 lit. a DSGVO müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbare Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“). Durch die Regelung des Art. 5 Abs. 1 lit. a DSGVO wird bestimmt, dass die Verarbeitung personenbezogener Daten nur bei Vorliegen eines gesetzlichen Erlaubnistatbestandes zulässig ist (sog. Erlaubnisvorbehalt). Die Vorschrift des Art. 6 Abs. 1 lit. a – f) DSGVO enthält die Erlaubnistatbestände, die eine Verarbeitung personenbezogener Daten rechtfertigen können.
Für die Verarbeitung besonderer Kategorien personenbezogener Daten, worunter auch biometrische Daten im Sinne des Art. 4 Ziffer 14 DSGVO fallen, sind die gesetzlichen Anforderungen noch strenger: Art. 9 Abs. 1 Satz 1 DSGVO untersagt die Verarbeitung besonderer Kategorien personenbezogener Daten (Verbotsprinzip). Eine abschließende Aufzählung der Ausnahmen vom Verarbeitungsverbot enthält Art. 9 Abs. 2 DSGVO.
Ausgehend von dem beschriebenen Fall folgt hieraus, dass – sofern für das biometrische Zeiterfassungssystem mittels Fingerabdrucks beim Verantwortlichen kein Ausnahmetatbestand des Art. 9 Abs. 2 DSGVO greift –, die Nutzung des Systems verboten ist, vgl. Art. 9 Abs. 1 DSGVO.
2. Warum liegen die Voraussetzungen eines Ausnahmetatbestandes im Sinne von Art. 9 Abs. 2 DSGVO i.V.m. §26 Abs. 3 Satz 1 BDSG nicht vor?
Wie bereits eingangs erwähnt, hat der Verantwortliche im Rahmen des Anhörungsverfahrens vorgetragen, dass er sich für die Einführung des Systems entschieden habe, nachdem es bei dem früher im Einsatz befindlichen Zeiterfassungssystem wiederholt zu Missbrauch und Manipulation durch einzelne Arbeitnehmer gekommen sei. Um hier Abhilfe zu schaffen – was nicht zuletzt im Interesse der rechtstreuen Arbeitnehmer geboten wäre –, sei ein manipulationssicheres System eingeführt worden.
Aufgrund des genannten Einsatzzweckes vertrat der Verantwortliche die Auffassung, dass als Rechtsgrundlage Art. 9 Abs. 2 lit. b DSGVO zur Anwendung gelange. Die Vorschrift enthält eine Ausnahme vom Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten u.a. für den Fall, dass die Verarbeitung erforderlich ist, damit der Verantwortliche die ihm aus dem Arbeitsrecht zustehenden Rechte ausüben kann. Durch den in der Vorschrift enthaltenen Zusatz „soweit dies nach Unionsrecht oder dem Recht der Mitgliedsstaaten (…) zulässig ist“ macht der Europäische Gesetzgeber deutlich, dass Art. 9 Abs. 2 lit. b DSGVO eine unionsrechtliche oder mitgliedsstaatliche Regelung verlangt. Die Vorschrift ist für sich genommen somit keine Rechtsgrundlage, welche die Verarbeitung besonderer Kategorien personenbezogener Daten gestattet.
Für den Bereich des Beschäftigtendatenschutzes enthält eine solche Regelung aber §26 Abs. 3 Satz 1 BDSG. Nach dem Wortlaut der Vorschrift ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 Abs. 1 DSGVO für Zwecke des Beschäftigungsverhältnisses unter anderem dann zulässig, wenn sie zur Ausübung von Rechten aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt (vgl. auch BT-Drs. 18/11325, 102).
Zentral ist hier zum einen der Begriff der Erforderlichkeit: Nach dem Willen des deutschen Gesetzgebers sind im Rahmen der Erforderlichkeitsprüfung die betroffenen Grundrechtspositionen und widerstreitenden Interessen zur Herstellung praktischer Konkordanz abzuwägen und zu einem Ausgleich zu bringen, der die Interessen des Verantwortlichen und die von der Verarbeitung betroffenen Personen möglichst weitgehend berücksichtigt (BT-Drs. 18/11325, 101). Zu fordern ist hierfür eine Prüfung am Maßstab des Verhältnismäßigkeitsgrundsatzes, was wiederum voraussetzt, dass seitens des Verantwortlichen ein legitimer Zweck verfolgt wird, das Verarbeitungsverfahren für die Verwirklichung dieses Zwecks geeignet ist und es sich um das mildeste aller gleich effektiv zur Verfügung stehenden Mittel handelt (vgl. BAG, Beschluss vom 9.4.2019 – 1 ABR 51/17, 39 = NZA 2019, 1055 (1059)).
Zusätzlich zur Verhältnismäßigkeitsprüfung im Rahmen der Erforderlichkeit darf kein Grund zu der Annahme bestehen, dass die schutzwürdigen Interessen der betroffenen Beschäftigten die Interessen des Verantwortlichen überwiegen (BT-Drs. 18/11325, 102).
Nur wenn die zuvor beschriebenen Voraussetzungen erfüllt sind, kann die Verarbeitung der Fingerabdruckdaten von Beschäftigten zum Zwecke der Arbeitszeiterfassung auf die Rechtsgrundlage des §26 Abs. 3 Satz 1 BDSG gestützt werden. Ob eine biometrische Arbeitszeiterfassung daher überhaupt den Anforderungen des §26 Abs. 3 Satz 1 BDSG genügen kann, ist fraglich.
Soweit die biometrische Arbeitszeiterfassung mittels Fingerabdrucks den Zweck der Verhinderung der Manipulation von Zeiterfassungsdaten erfüllen soll, sind die Voraussetzungen des §26 Abs. 3 Satz 1 BDSG schon bei einer Gesamtschau mit §26 Abs. 1 Satz 2 BDSG nicht erfüllt.
Zwar mag die Arbeitszeiterfassung der Ausübung von Rechten aus dem Arbeitsrecht dienen, vgl. §26 Abs. 3 Satz 1 BDSG i.V.m. §611 a Abs. 1 Satz 1 und 2 BGB. Soweit der Arbeitgeber die biometrische Arbeitszeiterfassung mittels Fingerabdrucks aber gerade zum Zwecke der Verhinderung der Manipulation von Zeiterfassungsdaten einführt, fördert dies die Annahme des Arbeitgebers zutage, dass die Beschäftigten seines Unternehmens Straftaten begehen, namentlich den Tatbestand des Arbeitszeitbetruges gemäß §263 StGB erfüllen (so auch LAG Berlin-Brandenburg, Urteil vom 4.6.2020 – 10 Sa 2130/19, 71). Für die Verarbeitung personenbezogener Daten zur Aufdeckung von Straftaten im Beschäftigungsverhältnis sieht §26 Abs. 1 Satz 2 BDSG eine spezialgesetzliche Regelung vor. Die Vorschrift gestattet die Verarbeitung personenbezogener Daten von Beschäftigten zur Aufdeckung von Straftaten nur bei Vorliegen strenger Voraussetzungen, etwa wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht einer Straftat im Beschäftigungsverhältnis begründen und die Verarbeitung zur Aufdeckung der Straftat erforderlich ist, vgl. §26 Abs. 1 Satz 2 BDSG.
Wenn §26 Abs. 1 Satz 2 BDSG aber für die Verarbeitung personenbezogener Daten u.a. verlangt, dass „zu dokumentierende tatsächliche Anhaltspunkte“ den Verdacht einer Straftat begründen, warum sollten dann an die Verarbeitung der schutzbedürftigeren besonderen Kategorien personenbezogener Daten geringere Anforderungen zu stellen sein (vgl. insoweit die zutreffenden Ausführungen des LAG Berlin-Brandenburg, Urteil vom 4.6.2020 – 10 Sa 2130/19, 72)? Ein solches Verständnis würde sowohl der gesetzlichen Systematik als auch dem Sinn und Zweck der Vorschrift widersprechen.
Darüber hinaus ist zu beachten, dass ein Grundrechtseingriff von hoher Intensität bereits als solcher unverhältnismäßig sein kann, wenn der Eingriffsanlass kein hinreichendes Gewicht aufweist (BVerfG, Urteil vom 27.02.2008 – 1 BvR 370/07, 244). Soweit der Eingriff der Abwehr bestimmter Gefahren dient, kommt es für das Gewicht des Eingriffsanlasses maßgeblich auf den Rang und die Art der Gefährdung der Schutzgüter an (wie zuvor). Der mit der biometrischen Zeiterfassung mittels Fingerabdrucks verbundene Eingriff in das Persönlichkeitsrecht ist bereits aufgrund der Wertungen des Art. 9 Abs. 1 DSGVO von hoher Intensität, so dass das Interesse des Arbeitgebers an einer „manipulationssicheren“ Arbeitszeiterfassung mittels Fingerabdrucks demgegenüber zurücktreten muss (so auch LAG Berlin-Brandenburg, Urteil vom 4.6.2020 – 10 Sa 2130/19, 72).
3. Könnte die Einführung eines biometrischen Zeiterfassungssystems auf Basis wirksamer Einwilligungen der Beschäftigten nach §26 Abs. 3 Satz 2 BDSG datenschutzkonform möglich sein?
§26 Abs. 3 Satz 2 BDSG ermöglicht dem Verantwortlichen die Verarbeitung besonderer Kategorien personenbezogener Daten – mithin auch biometrischer Daten – auf der Grundlage einer sich ausdrücklich auf diese Daten beziehenden Einwilligung der Beschäftigten. Es ist daher nicht auszuschließen, dass Arbeitgeber ein biometrisches Zeiterfassungssystem auf Basis wirksamer Einwilligungserklärungen der Beschäftigten datenschutzkonform einführen und nutzen können.
Die Anforderungen an eine wirksame Einwilligungserklärung sollten von Verantwortlichen jedoch nicht unterschätzt werden: Neben §26 Abs. 3 Satz 2 BDSG sind die Voraussetzungen des §26 Abs. 2 BDSG zu beachten. Darüber hinaus ist der Verantwortliche für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und muss deren Einhaltung nachweisen können (Rechenschaftspflicht), vgl. Art. 5 Abs. 2 DSGVO. Verantwortliche sollten sich mit Blick auf den Einwilligungsprozess und die Ausgestaltung der Einwilligungserklärung daher z.B. folgende Fragen stellen:
- Ist die Einwilligung überhaupt für die geplante Datenverarbeitung geeignet?
Dies setzt voraus, dass die Einwilligung jederzeit (mit Wirkung für die Zukunft) widerrufen und der Datenverarbeitungsprozess – je nach Willensbekundung der betroffenen Beschäftigten – „unterschiedlich“ ausgestaltet werden kann (Alternativverhalten). Speziell für die biometrische Arbeitszeiterfassung muss daher eine alternative Möglichkeit der Zeiterfassung vorgesehen werden (z.B. mittels Chipkarte oder Token). - Kann von einer informierten Willensbekundung ausgegangen werden?
Dies setzt voraus, dass dem Beschäftigten verständlich gemacht wird, zu welchem Zweck die Verarbeitung seiner personenbezogenen Daten erfolgt und wie das Verfahren ausgestaltet ist. Mit Blick auf die Rechenschaftspflicht des Verantwortlichen empfiehlt es sich, die Informationen in Textform in einer klaren und einfachen Sprache zur Verfügung zu stellen. Gemäß §26 Abs. 3 Satz 1 BDSG ist darüber hinaus sicherzustellen, dass sich die Einwilligung der betroffenen Beschäftigten ausdrücklich auf die Verarbeitung biometrischer Daten bezieht. - Wurden die betroffenen Beschäftigten über ihr Widerrufsrecht aufgeklärt?
Die Informationen über das Widerrufsrecht sind nach §26 Abs. 2 Satz 3 BDSG in Textform zur Verfügung zu stellen. - Erfolgt die Einwilligung der Beschäftigten auf freiwilliger Basis?
§26 Abs. 2 Satz 1 und 2 BDSG messen der Frage der Freiwilligkeit der Einwilligung im Beschäftigungskontext besondere Bedeutung zu. Dies trägt dem Umstand Rechnung, dass zwischen Arbeitgeber und Beschäftigten ein Über-/Unterordnungsverhältnis besteht. Die Einwilligung kommt für Verarbeitungen von Beschäftigtendaten daher regelmäßig nicht in Betracht (vgl. auch Kurzpapier Nr. 14 Beschäftigtendatenschutz der DSK). Insbesondere wenn es um die Frage der Freiwilligkeit der Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten geht, ist nach dem Willen des Gesetzgebers ein strenger Maßstab anzulegen (vgl. auch BT-Drs. 18/11325, 102). Verantwortliche sollten sich daher fragen, ob sich die Problematik des Über-/Unterordnungsverhältnisses zwischen Arbeitgeber und Arbeitnehmer in Hinblick auf die geplante Datenverarbeitungssituation auswirkt, unter welchen tatsächlichen Umständen/ Gegebenheiten die Einwilligung bei den Betroffenen eingeholt wird (Möglichkeit des Entstehens von DruckSituationen) und ob die Einwilligung in unzulässiger Weise an weitergehende Bedingungen „gekoppelt“ ist. Als Fallkonstellationen, bei deren Vorliegen von der Freiwilligkeit der Einwilligung ausgegangen werden kann, nennt §26 Abs. 2 Satz 3 BDSG das Bestehen eines rechtlichen oder wirtschaftlichen Vorteils des Beschäftigten sowie das Verfolgen gleichgelagerter Interessen von Arbeitgebern und Beschäftigten. - Werden die Formerfordernisse für die Einwilligung im Beschäftigungsverhältnis beachtet?
Nach §26 Abs. 2 Satz 3 BDSG hat die Einwilligung schriftlich oder elektronisch zu erfolgen, soweit nicht wegen der besonderen Umstände eine andere Form angemessen ist. - Kann der Verantwortliche nachweisen, dass die betroffene Person wirksam in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat?
Hierüber sollten sich Verantwortliche insbesondere vor dem Hintergrund der in Art. 5 Abs. 2 DSGVO normierten Rechenschaftspflicht Gedanken machen.
Quelle: HBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks