Darf die Arbeitszeiterfassung mittels des Fingerabdrucks erfolgen? Damit hatte sich das Arbeitsgericht Berlin zu befassen (ArbG Berlin 16.10.2019 – 29 Ca 5451/19). Das Gericht kam zu dem Schluss, dass die Arbeitszeiterfassung mittels Fingerprint nicht erforderlich im Sinne des § 26 Abs. 1 BDSG und daher nicht ohne Einwilligung des betroffenen Mitarbeiters zulässig ist. Grundlage dieses Urteils waren insbesondere datenschutzrechtliche Vorschriften.
Arbeitszeiterfassungssystem
Gegenstand des Verfahrens waren drei Abmahnungen. Zwei der drei Abmahnungen wurden aufgrund der Weigerung des Klägers ausgesprochen, das von der Beklagten neu eingeführte Arbeitszeiterfassungssystem „ZEUS“ zu verwenden.
Mit ZEUS wurde das handschriftliche Erfassen der Arbeitszeit auf einem offen ausliegenden Dienstplan ersetzt. ZEUS verwendet sogenannte Fingerprints für die Zuordnung der Daten zu einer bestimmten Person und Dokumentation der Arbeitszeit. Dabei wird nicht der gesamte Fingerabdruck, sondern lediglich die Minutien des Fingerabdrucks gespeichert und verwendet. Bei Minutien handelt es sich um Endpunkte und Verzweigungen der Hauptrillen auf der Oberhaut. Es sind also feine Merkmale des Fingerabdrucks, welche jedem Menschen eigen sind. Diese Minutien sind im Rahmen des Arbeitszeiterfassungssystems lediglich einer Record-Nummer zugeordnet, sodass ein Bezug zu einer natürlichen Person nicht hergestellt werden kann. Weder wird im System der Fingerabdruck des Mitarbeiters gespeichert noch kann aus den gespeicherten Minutien-Datensätzen der Fingerabdruck des Mitarbeiters konstruiert werden.
Biometrische Daten
Trotz der beschriebenen Verarbeitung stuft das ArbG Berlin den Minutiendatensatz als biometrische Daten ein. Biometrische Daten sind gemäß Art. 4 Nr. 14 DSGVO mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser Person ermöglichen oder bestätigen. Typischerweise werden die Form des Gesichtes, der Klang der Stimme aber auch ein Fingerabdruck als biometrische Daten eingestuft. Auch wenn lediglich die Minutien des Fingerabdrucks im vorliegenden Zeiterfassungssystem verwendet werden, handelt es sich dabei um personenbezogene Daten zu physischen Merkmalen, die zur Identifizierung der Person bestimmt sind und angewandt werden. Diese Daten sind als spezielle Kategorien personenbezogener Daten besonders geschützt. Art. 9 Abs. 1 DSGVO regelt, dass die Verarbeitung besonderer Kategorien personenbezogener Daten nur zulässig ist, wenn der Betroffene wirksam eingewilligt hat oder eine Kollektivvereinbarung (Betriebsvereinbarung oder Tarifvertrag) die Verarbeitung ausdrücklich erlaubt oder die Verarbeitung der biometrischen Daten gemäß Art. 9 Abs. 2 lit. b) DSGVO „erforderlich“ ist.
Im konkreten Fall gab es weder eine Kollektivvereinbarung noch hatte der Betroffene in die Verarbeitung eingewilligt. Trotz fehlender Einwilligung vertrat die Beklagte den Standpunkt, dass die Verarbeitung der Daten des Klägers erforderlich sei, um die Arbeitszeit zu erfassen. Alle übrigen Zeiterfassungssysteme seien manipulierbar und somit nicht sicher. Auch die zuvor angewandte Methode, einen ausgedruckten Dienstplan offen auszulegen, in denen Mitarbeiter handschriftlich ihre geleisteten Arbeitsstunden eintrugen, war für das Unternehmen keine angebrachte Alternative. Die Verwendung des Zeiterfassungssystems ZEUS mit der Verarbeitung der Fingerprints der Mitarbeiter sei somit zum Zwecke der Kontrolle der Arbeitszeiten und Verhinderung des Arbeitszeitenmissbrauchs erforderlich. Auch könne der Arbeitgeber nur so seinen Pflichten, die ihm aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsen, nachkommen.
Verhältnismäßigkeitsprüfung
Um zu überprüfen, ob die Verarbeitung des Fingerprints für die Durchführung des Beschäftigungsverhältnisses erforderlich ist, hat das Gericht eine dreistufige Verhältnismäßigkeitsprüfung angewandt. Das entspricht der ständigen höchstrichterlichen Rechtsprechung.
In der ersten Stufe wird überprüft, ob die Verarbeitung für den verfolgten legitimen Zweck geeignet ist. Geeignet bedeutet in diesem Zusammenhang, dass der verfolgte Zweck tatsächlich gefördert wird. In der zweiten Stufe wird geprüft, ob kein anderes, gleich wirksames Mittel existiert, um den verfolgten Zweck zu erfüllen, das gleichzeitig aber das Persönlichkeitsrecht weniger beeinträchtigt. Auf der dritten Stufe erfolgt eine umfassende Abwägung der gegenseitigen Interessen. Im Grunde wird hier überprüft, ob die Rechtsbeeinträchtigung des Arbeitnehmers im Verhältnis zum angestrebten Zweck des Arbeitgebers steht. Es ist jedoch zu beachten: Je schwerwiegender der Eingriff in das Persönlichkeitsrecht des Arbeitnehmers ist, desto bedeutender muss der vom Arbeitgeber angestrebte Zweck sein.
Im Rahmen der Interessenabwägung war das Gericht von der Argumentation der Beklagten, der angeblichen Gefahr von Arbeitszeitmissbrauch vorzubeugen, nicht überzeugt. Es lagen keine konkreten und tatsächlichen Anhaltspunkte für einen Arbeitszeitenbetrug vor. Weder im Einzelfall des Klägers noch generell konnte die Beklagte beweisen, ein Problem mit Arbeitszeitbetrug zu haben. Auch konnte die Beklagte nicht darlegen, wie ein Arbeitszeiterfassungssystem ohne die Verarbeitung von biometrischen Daten zu einem Arbeitszeitmissbrauch in erheblichen Umfang führen würde.
Das Gericht erkennt die Zulässigkeit von biometrischen Zugangskontrollen zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimnissen zwar an. Die Verarbeitung von biometrischen Daten zur allgemeinen Arbeitszeiterfassung sei hingegen nicht schutzwürdiger als die Interessen des Arbeitnehmers. Die Verarbeitung von biometrischen Daten zur allgemeinen Arbeitszeiterfassung ist demnach nicht erforderlich im Sinne des § 26 Abs. 1 BDSG und folglich ohne Einwilligung des betroffenen Mitarbeiters nicht zulässig.
Das Urteil ist nicht rechtskräftig. Die Berufung ist derzeit am Landesarbeitsgericht Berlin-Brandenburg unter dem Aktenzeichen 10 Sa 2130/19 anhängig.
Abschließend sei noch auf eine Entscheidung der niederländischen Datenschutzaufsichtsbehörde verwiesen. Diese hat im Frühjahr ein Bußgeld von über EUR 700.000,00 gegen einen Arbeitgeber in einem vergleichbaren Fall verhängt. Das zeigt einmal mehr, dass die Verarbeitung besonderer Kategorien personenbezogener Daten mit einem hohen Risiko verbunden ist.