Das deutsche Arbeitszeitgesetz schreibt vor, dass der Arbeitgeber die Arbeitszeiten seiner Mitarbeiter erfassen muss, wenn diese werktäglich acht Stunden überschreiten (§ 16 Abs. 2 ArbZG) – auch bei Minijobbern gibt es eine Aufzeichnungspflicht (§ 17 Abs. 1 Mindestlohngesetz – MiLoG). Nach einem Urteil des Europäischen Gerichtshofs sind die Mitgliedsstaaten sogar generell verpflichtet, Arbeitgebern eine objektive, verlässliche und zugängliche Arbeitszeiterfassung aufzuerlegen (EuGH Az. C-55/18 vom 14. Mai 2019). Auch wenn dies noch nicht in Deutschland umgesetzt wurde, hat das Arbeitsgericht Emden mit Urteil vom 20. Februar 2020 (Az. 2 Ca 94/19) bereits eine solche Verpflichtung unter bestimmten Umständen angenommen und sich hierbei auf dieses EuGH-Urteil bezogen.
Greift der Arbeitgeber zur Aufzeichnung noch ganz altmodisch auf die berühmten Stechkarten zurück oder nutzt er andere gängige Identifizierungsmethoden (Smartcards oder ähnliches) kann es vorkommen, dass Mitarbeiter andere Kollegen schon einmal mithilfe derer Karten frühmorgens einfach mit „einbuchen“, auch wenn diese Kollegen erst deutlich später anfangen. Das sieht ein Arbeitgeber natürlich nicht gern.
Es liegt daher nahe, dass man sich ein System wünscht, welches eine manipulationssichere Mitarbeiteranmeldung ermöglicht. So werden mehr und mehr Systeme eingesetzt, die biometrische Daten des Mitarbeiters erfassen, um ihn so als anwesende Person zu identifizieren oder zu verifizieren. Die meisten Systeme nutzen hierbei den Fingerabdruck (Fingerbeere), um den jeweiligen Mitarbeiter zu identifizieren und seine Arbeitszeit zu erfassen oder auch um ihm den Zugang zu bestimmten Räumen zu ermöglichen.
Mangelnde Erforderlichkeit
Dem Einsatz solcher Systeme zur Zeiterfassung dürfte nun nach einem aktuellen Urteil des Landesarbeitsgerichts Berlin-Brandenburg vom 10. Juni 2020 ein Ende gesetzt sein (Az. 10 Sa 2130/19, www.gerichtsentscheidungen.berlin-brandenburg.de/jportal/?quelle=jlink&docid=JURE200011045&psml=sammlung.psml&max=true&bs=10). Denn das Landesarbeitsgericht hält den Einsatz solcher Systeme – bis auf wenige Ausnahmen – für unzulässig, wie es zuvor schon in der ersten Instanz durch das Arbeitsgericht Berlin festgestellt wurde (16. Oktober 2019, Az. 29 Ca 5451/19, www.gerichtsentscheidungen.berlin-brandenburg.de/jportal/?quelle=jlink&docid=JURE190016085&psml=sammlung.psml&max=true&bs=10).
Die mit der biometrischen Zeiterfassung verbundenen Aufzeichnungssysteme speichern zwar nicht den ganzen Fingerabdruck, sondern nur sogenannte Minutien: Endungen und Verzweigungen der Papillarleisten, die bei jedem Menschen individuell sind und zur Identifizierung ausreichend sind.
Diese erhobenen Daten sind aber eben – auch nach Ansicht des Gerichts – biometrische Daten, die eine Person identifizieren können, und damit ist ihre Verarbeitung nach Art. 9 Abs. 1 der EU Datenschutzgrundverordnung (DSGVO) zunächst untersagt. Zwar wäre eine solche Verarbeitung nach Art. 9 Abs. 2 Lit. b DSGVO zulässig, wenn die Verarbeitung erfolgt, damit die verarbeitende Person (also der Arbeitgeber) seinen arbeitsrechtlichen Pflichten nachkommt (also etwa zum Zweck der Arbeitszeiterfassung, siehe auch § 26 Abs. 3 BDSG). Sie sind aber dazu nicht erforderlich im Sinne des Art. 9 Abs. 2 Lit. b DSGVO und des § 26 Abs. 3 Bundesdatenschutzgesetz (BDSG), da es auch andere Systeme hierfür gibt. Dies führt im Endeffekt dazu, dass die Verarbeitung nicht (ohne Weiteres) statthaft ist.
Natürlich kann der betroffene Arbeitnehmer in die Erhebung und Verarbeitung einwilligen. An eine solche Einwilligung sind aber hohe Anforderungen geknüpft, was sich aus Art. 88 Abs. 1 DSGVO in Verbindung mit § 26 Abs. 3 Satz 2 BDSG ergibt. Eine Einwilligung wäre nur wirksam, wenn sie tatsächlich freiwillig erfolgt, der Person bei einer Weigerung also keine Nachteile entstehen und überdies Alternativen angeboten werden. Dies dürfte in der Praxis nahezu ausgeschlossen sein.
Einordnung von Minutien
Interessant ist in diesem Zusammenhang, dass das Gericht fast selbstverständlich die Minutien als „biometrische Daten“ klassifiziert. Nach Art. 4 Ziffer 14 DSGVO sind biometrische Daten „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“. Die Herstellerfirma des eingesetzten Geräts ließ im Verfahren aus ihrem Produktblatt vortragen: „Ein Auslesen der Daten aufgrund entsprechender Schutzmaßnahmen ist nicht möglich. Innerhalb des IT 8200 FP befinden sich nur eine Record-Nummer und die dazugehörigen Minutien. Ein Bezug zu einer natürlichen Person kann nicht hergestellt werden.“ Der Arbeitgeber hatte hierzu darauf hingewiesen, dass das System eben keine Fingerabdrücke speichere, sondern nur Minutien, die in einen Zahlencode umgewandelt würden. Aus diesem ließen sich aber weder die Minutien noch ein Fingerabdruck reproduzieren.
Wenn dies stimmt, müsste man sich tatsächlich fragen, ob es sich dann noch um die Erfassung biometrischer Daten handelt – denn dann würde es an der nach Art. 4 Ziffer 14 DSGVO erforderlichen eindeutigen Identifizierung der Person fehlen. Da das BSI allerdings davon ausgeht, dass man mit bestimmter Sicherheit sagen kann, dass zwei Fingerabdrücke von dem gleichen Finger stammen, wenn sie zur gleichen Kategorie gehören und eine bestimmte Anzahl übereinstimmender Minutien enthalten (siehe S. 9 in www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Biometrie/Fingerabdruckerkennung_ pdf.pdf?__blob=publicationFile), wäre aufzuklären, ob die Aussage des Geräteherstellers, dass ein Bezug zu einer natürlichen Person nicht hergestellt werden kann, wirklich stimmig ist. Auch das müssen wohl letztlich die Gerichte klären.
Enge Voraussetzungen
Will man künftig solche Systeme einsetzen, so muss man zunächst folgende Überlegungen anstellen:
- Besteht ein berechtigtes Interesse (Art. 6 Abs. 1 Lit. f DSGVO)? Dies kann zum Beispiel durchaus vorliegen, wenn man verpflichtet ist, Arbeitszeiten seiner Arbeitnehmer aufzuzeichnen. Hier wiegen aber die Interessen der Betroffenen höher und es gibt andere Systeme, die nicht so weit in die Rechte des Betroffenen eingreifen, sodass dies nicht bereits zur Zulässigkeit des Einsatzes führt.
- Erfolgt die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 Lit. c DSGVO)? Eine solche Verpflichtung wäre beispielsweise die zur Aufzeichnung der Arbeitszeiten nach dem ArbZG. Sie muss aber auch erforderlich sein! Da es Alternativen gibt, um diese Verpflichtung zu erfüllen und die nicht einen solchen Eingriff erfordern, ist der Einsatz des Systems aber nicht erforderlich.
- Sollen mit der Verarbeitung Straftaten aufgedeckt werden (§ 26 Abs. 1 Satz 2 BDSG)? Selbst dann muss ein begründeter Verdacht vorliegen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat – außerdem muss auch hier die gewünschte Verarbeitung zur Aufdeckung erforderlich und zudem verhältnismäßig sein. Darüber hinaus darf das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegen.
- Liegt eine (wirksame) Einwilligung vor? Dann wäre dies nach Art. 6 Abs. 1 Lit. a DSGVO bereits ausreichend. Eine solche Einwilligung ist vor der Durchführung der Maßnahme abzugeben und der Mitarbeiter muss darüber informiert sein, wozu die Daten erhoben werden, wer der Verantwortliche ist, wie sie verarbeitet werden (vgl. hierzu Erwägungsgrund Nr. 42 zur DSGVO). Aber eine Einwilligung muss zwingend auch freiwillig sein. Da jedoch ein Arbeitnehmer im Verhältnis zum Arbeitgeber regelmäßig als der schwächere Part anzusehen ist, muss man sich fragen, ob eine Einwilligung wirklich frei abgegeben wurde oder ob man sie nur aus Angst vor Repressalien nicht verweigern wollte. Das Gesetz ist hier klar: Der Betroffene muss eine echte und freie Wahl haben! Und die Beweislast für das Vorliegen einer DSGVO-konformen Einwilligung trägt am Ende der Arbeitgeber.
Fazit
Die Erhebung und Verarbeitung von biometrischen Daten stellt einen erheblichen Eingriff in die Grundrechte des Betroffenen dar. Um einen entsprechend intensiven Eingriff in Persönlichkeitsrechte zu rechtfertigen, müsste die gewünschte Verarbeitung zulässig und entweder erforderlich oder im Sinne einer Rechtsgüterabwägung mit einem sehr schwerwiegenden konkret verfolgten Zweck verbunden sein. Schon das Arbeitsgericht Berlin hatte hierzu festgestellt, dass das Interesse des Arbeitgebers eher bei einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen überwiegen könnte als bei einer Zugangssicherung zu normalen Bürobereichen oder der Arbeitszeiterfassung.
Zusammenfassend lässt sich feststellen, dass sich der Einsatz von Biometrie in „normalen“ Umgebungen kaum rechtssicher begründen lässt. Unternehmen sollten ihre diesbezügliche Praxis kritisch hinterfragen und gegebenenfalls Alternativen erwägen.
