Arbeitsgericht Berlin: Zeiterfassung per Fingerabdruck ohne Einwilligung der Beschäftigten nicht zulässig

Rechtsprechung

Das Arbeitsgericht Berlin (ArbG Berlin) hat in einem Urteil vom 16.10.2019 entschieden, dass eine Zeiterfassung über ein Zeiterfassungssystem, das über einen Fingerabdruck der Beschäftigten, die Arbeitszeiten erfasst, nicht ohne Einwilligung der Beschäftigten erfolgen darf. Das Urteil ist im Volltext hier zu finden: ArbG Berlin, Urteil vom 16.10.2019, Az.: 29 Ca 5451/19

Dem Urteil lag folgender Sachverhalt zugrunde:

Sachverhalt

Bis zur Einführung des neuen, auf einem Fingerabdruck basierenden Zeiterfassungssystems, trugen die Beschäftigten in dem betreffenden Unternehmen auf einem ausgedruckten und ausliegenden Dienstplan per Hand ihre geleisteten Arbeitszeiten ein. Dabei wiesen die eingetragenen Arbeitszeiten auch geleistete Mehrarbeitsstunden aus. Gelegentlich wurden abweichende Dienstzeiten mündlich nachgeliefert. Eine Kontrolle der eingetragenen Zeiten fanden nicht statt.

Der Arbeitgeber hat dann per Rundmail an die Beschäftigten über das neu eingeführte Zeiterfassungssystem informiert und mitgeteilt, dass wenige Tage später nur noch die Arbeitszeiten anerkannt würden, die mit dem neuen Zeiterfassungssystem erfasst worden sind.

Dagegen hat sich ein Beschäftigter gewehrt und letztlich auch (neben anderer Streitpunkte) Klage beim ArbG Berlin erhoben.

Wie hat das Gericht entschieden?

Das ArbG Berlin hat den Einsatz des Zeiterfassungssystem datenschutzrechtlich für unzulässig erklärt, wenn keine Einwilligung des betroffenen Beschäftigten vorliege.

Das ArbG Berlin führt dazu zunächst zum Sachverhalt wörtlich aus:

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.

Dann kommt das ArbG Berlin richtigerweise zu dem Ergebnis, dass es sich bei dem Minutiendatensatz um biometrische Daten i.S.d. Art. 9 Abs. 1 DSGVO handelt und zudem auch um besondere Arten personenbezogener Daten nach § 26 Abs. 3 BDSG.

Da eine Einwilligung des Betroffenen nicht vorlag, musste das ArbG Berlin sodann eine Prüfung auf Basis von § 26 Abs. 1 BDSG und § 26 Abs. 3 BDSG vornehmen.

Die Prüfung der beiden Tatbestände nimmt das ArbG Berlin hier im Ergebnis nicht getrennt vor. Das Gericht kommt unter Berücksichtigung der Vorgaben von § 26 Abs. 1 und 3 BDSG zu dem Schluss, dass Voraussetzung für eine Zulässigkeit der Verarbeitung von Daten mittels des neuen Zeiterfassungssystems zulässig wäre, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Ferner müsse die Erhebung und Verwendung von biometrischen Merkmalen im Rahmen der dreistufigen Prüfung folgende Voraussetzungen erfüllen:

  1. Das biometrische Verfahren muss für die Zwecke des Beschäftigungsverhältnisses geeignet sein, das heißt, der jeweils auf das Beschäftigungsverhältnis bezogene Zweck muss tatsächlich gefördert werden können.
  2. Es darf kein anderes, gleich wirksames, das Persönlichkeitsrecht weniger beeinträchtigendes Mittel existieren.
  3. Als Ergebnis einer umfassenden Abwägung der schutzwürdigen Interessen und Grundrechte des Arbeitnehmers und des Arbeitgebers muss die Beeinträchtigung des Persönlichkeitsrechts des Beschäftigten durch das biometrische Verfahren in einem angemessenen Verhältnis zu dem angestrebten Zweck der Datenverwendung stehen.

Dabei gelte nach der Auffassung des ArbG Berlin folgende Regel:

Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangssicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden.

Diese Prüfungen führt das ArbG dann in seinem Urteil durch und stellt zunächst die „Erforderlichkeit“ in Frage:

Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können.

Da der Arbeitgeber in dem Verfahren aber nicht dazu vorgetragen hat, dass es in der Vergangenheit zu Missbrauch gekommen ist und zudem nicht dargelegt habe, dass bei Einführung eines anderen neuen (nicht biometrischen) Zeiterfassungssystems ein Missbrauch zu befürchten sei, würden insgesamt die Interessen des Arbeitgebers das schutzwürdige Interesse des Arbeitnehmers an dem Ausschluss der Verarbeitung nicht überwiegen.

Daher sei die Datenverarbeitung mittels des neuen Zeiterfassungssystems unter Verwendung biometrischer Daten datenschutzrechtlich nicht zulässig.

Meine Meinung zu dem Urteil

Ich halte das Urteil im Ergebnis für richtig. Im Hinblick auf die Anwendung der Rechtsgrundlagen gibt es m.E. kleine handwerkliche Fehler, die jedoch nicht von Belang sind. Insbesondere sind diese für das Ergebnis nicht von Belang.

Ich habe Unternehmen schon vor Anwendung der DSGVO stets geraten, bei der Einführung von Verarbeitungen, die auf biometrischen Daten basieren besondere Vorsicht walten zu lassen.

Nach meinem Dafürhalten sind bei der Verarbeitung von biometrischen Daten zudem Datenschutz-Folgenabschätzungen i.S.d. Art. 35 DSGVO durchzuführen. Dies gilt jedenfalls dann, wenn das jeweilige System biometrische Daten in Rohfassung speichert. Bei einem Fingerabdruck wären das z.B. konkrete Messdaten, die ggf. dazu genutzt werden könnten, die Daten z.B. durch Reproduktion zu missbrauchen. Das Risiko für die Betroffenen bei der Verarbeitung von biometrischen Rohdaten ist regelmäßig als sehr hoch einzustufen.

Wir müssen nicht weit in die Zukunft denken, um uns vorzustellen, was ich mit einem „nachgedruckten“ Fingerabdruck alles an Missbrauch anstellen könnte. Ein falscher Fingerabdruck an einem „Tatort“ z.B. ist „nicht lustig“.

Es sind sicher auch unter Verwendung von biometrischen Daten Systeme denkbar, die ohne eine Einwilligung in zulässiger Weise einsetzbar wären. Dann müssten diese Systeme aber zumindest schon einmal konstruiert sein, dass biometrische Rohdaten allenfalls flüchtig im System erfasst und z.B. sofort nach Erfassung durch einen Hashwert ersetzt werden, der nicht rückrechenbar wäre, damit ein Risiko für einen Missbrauch der Daten minimiert werden kann.

Bei der vorgenommenen Interessenabwägung hätte das Gericht also sogar mutiger sein können. Zunächst kommt es schon nicht darauf an, dass die Interessen des Arbeitgebers überwiegen müssen, sondern – und das kann in „Pattsituationen“ mal entscheidend werden – dass das Interesse des Betroffenen gegen die Verarbeitung überwiegen muss.

Und das Interesse des Betroffenen gegen die Verarbeitung seiner biometrischen Daten überwiegt im vorliegenden Fall, zumal weniger „invasive“ Zeiterfassungssysteme marktgängig sind, das Interesse des Arbeitgebers an der Einführung des Systems in erheblicher Weise. Und zwar offensichtlich.

Ich würde im vorliegenden Fall sogar – auch wenn dies nicht vom Gericht zu entscheiden war – so weit gehen, dass eine Verarbeitung von biometrischen Daten „in Rohfassung“ für eine reine Zeiterfassung auf Basis einer Einwilligung als rechtswidrig eingestuft werden könnte, weil ich erhebliche Zweifel an der Freiwilligkeit der Beschäftigten haben würde. Das ist jedoch immer Einzelfallfrage.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.