In der ZDF-Sendung „Aktenzeichen xy ungelöst“ wird nicht selten darüber berichtet, dass ein Täter mittels seines Fingerabdrucks überführt und dingfest gemacht werden konnte. Inzwischen gilt der Fingerabdruck in der modernen Welt auch nicht selten als persönlicher Ausweis, um Eintritt in sensible Räumlichkeiten des Unternehmens zu erhalten oder die Startfunktion des eigenen Autos in Gang zu setzen. Auch in Sachen Zeiterfassung wird dem Fingerabdruck zunehmend eine wachsende Bedeutung beigemessen. Mit Hilfe des Fingerabdrucks weiß der Arbeitgeber schließlich, ob der Arbeitnehmer wirklich am Arbeitsplatz ist. Außerdem sind Arbeitgeber durch ein EuGH-Urteil vom 14. Mai 2019 ohnehin dazu verpflichtet, ein System zur Arbeitszeiterfassung zu implementieren. Aber ist ein Fingerabdrucksystem der richtige Weg? „Bei einem Fingerabdruck handelt es sich um biometrische Daten“, weist der erfahrene Datenschutzfachmann Dr. Jörn Voßbein auf einen nicht unerheblichen Umstand hin. In Berlin wurde jüngst ein Fall vor Gericht entschieden, der es lohnt näher in den Blick genommen zu werden.
Der Sachverhalt: In einer radiologischen Praxis führte der Arbeitgeber im August 2018 ein neues Zeiterfassungssystem ein. Die Belegschaft musste sich per Fingerabdruck an- und abmelden. Hierbei erfolgte ein Abgleich des Fingerabdrucks mit zuvor im Zeiterfassungsterminal gespeicherten Daten. Dazu werden aus dem Fingerabdruck des Mitarbeiters sogenannte Minutien, also individuelle Fingerlinienverzweigungen, mit einem speziellen Algorithmus herausgefiltert und im Zeiterfassungsterminal gespeichert.
Ein Mitarbeiter weigerte sich an diesem Verfahren zur Zeiterfassung teilzunehmen, woraufhin er zwei Abmahnungen des Arbeitgebers erhielt. Der Arbeitnehmer reichte Klage zur Entfernung dieser Abmahnungen aus seiner Personalakte gegen den Arbeitgeber ein. Der Arbeitgeber hielt hingegen die Verarbeitung für erforderlich, da erfahrungsgemäß „Stempelkarten“ oder PIN an Kollegen weitergegeben werden, so dass diese dann die Zeiterfassung vornehmen können (Verdacht des Betrugs). Das Arbeitsgericht Berlin folgte der Argumentation des Arbeitnehmers. Die Abmahnungen sind aus der Personalakte zu entfernen.
Die Begründung: Die Richterschaft des Berliner Arbeitsgerichtes befand, dass es sich bei den erfassten Daten des Arbeitsnehmers um biometrische Daten im Sinne von Art. 9 Abs. 1 DSGVO sowie um personenbezogene Daten nach § 26 Abs. 3 BDSG handelt. Eine Verarbeitung solcher besonderen Daten ist nur in Ausnahmefällen möglich. Ausnahmefälle sind:
a) Der Arbeitnehmer stimmt dieser Verarbeitung zu,
b) eine Kollektivvereinbarung wird geschlossen oder
c) die Datenverarbeitung ist zwingend erforderlich.
Die Richter befanden, dass die Datenerfassung per Fingerabdruck nicht erforderlich ist, um die Arbeitszeit zu erfassen. Stattdessen wiesen die Richter darauf hin, dass durch die Verwendung biometrischer Daten Grundrechte und Grundfreiheiten des Arbeitnehmers erheblich beeinträchtigt werden. Das Fingerprintsystem wäre nur dann zur Arbeitszeiterfassung einzusetzen gewesen, wenn es zuvor erhebliche Ungereimtheiten und Falscheintragungen bei der Zeiterfassung gegeben hätte. „Das Unternehmen hat mit dem Fingerprintsystem sicherlich einen ordentlichen Betrag in den Sand gesetzt“, kommentiert UIMC-Geschäftsführer Dr. Jörn Voßbein und fährt fort: „Hätte das Unternehmen im Vorfeld einen Datenschutzbeauftragten zu Rate gezogen hätte man Geld, Ärger und das Betriebsklima geschont.“
Der Sachverhalt: In einer radiologischen Praxis führte der Arbeitgeber im August 2018 ein neues Zeiterfassungssystem ein. Die Belegschaft musste sich per Fingerabdruck an- und abmelden. Hierbei erfolgte ein Abgleich des Fingerabdrucks mit zuvor im Zeiterfassungsterminal gespeicherten Daten. Dazu werden aus dem Fingerabdruck des Mitarbeiters sogenannte Minutien, also individuelle Fingerlinienverzweigungen, mit einem speziellen Algorithmus herausgefiltert und im Zeiterfassungsterminal gespeichert.
Ein Mitarbeiter weigerte sich an diesem Verfahren zur Zeiterfassung teilzunehmen, woraufhin er zwei Abmahnungen des Arbeitgebers erhielt. Der Arbeitnehmer reichte Klage zur Entfernung dieser Abmahnungen aus seiner Personalakte gegen den Arbeitgeber ein. Der Arbeitgeber hielt hingegen die Verarbeitung für erforderlich, da erfahrungsgemäß „Stempelkarten“ oder PIN an Kollegen weitergegeben werden, so dass diese dann die Zeiterfassung vornehmen können (Verdacht des Betrugs). Das Arbeitsgericht Berlin folgte der Argumentation des Arbeitnehmers. Die Abmahnungen sind aus der Personalakte zu entfernen.
Die Begründung: Die Richterschaft des Berliner Arbeitsgerichtes befand, dass es sich bei den erfassten Daten des Arbeitsnehmers um biometrische Daten im Sinne von Art. 9 Abs. 1 DSGVO sowie um personenbezogene Daten nach § 26 Abs. 3 BDSG handelt. Eine Verarbeitung solcher besonderen Daten ist nur in Ausnahmefällen möglich. Ausnahmefälle sind:
a) Der Arbeitnehmer stimmt dieser Verarbeitung zu,
b) eine Kollektivvereinbarung wird geschlossen oder
c) die Datenverarbeitung ist zwingend erforderlich.
Die Richter befanden, dass die Datenerfassung per Fingerabdruck nicht erforderlich ist, um die Arbeitszeit zu erfassen. Stattdessen wiesen die Richter darauf hin, dass durch die Verwendung biometrischer Daten Grundrechte und Grundfreiheiten des Arbeitnehmers erheblich beeinträchtigt werden. Das Fingerprintsystem wäre nur dann zur Arbeitszeiterfassung einzusetzen gewesen, wenn es zuvor erhebliche Ungereimtheiten und Falscheintragungen bei der Zeiterfassung gegeben hätte. „Das Unternehmen hat mit dem Fingerprintsystem sicherlich einen ordentlichen Betrag in den Sand gesetzt“, kommentiert UIMC-Geschäftsführer Dr. Jörn Voßbein und fährt fort: „Hätte das Unternehmen im Vorfeld einen Datenschutzbeauftragten zu Rate gezogen hätte man Geld, Ärger und das Betriebsklima geschont.“
