Fingerprint als Arbeitszeiterfassung

Wurde früher die Arbeitszeit per Stempelkarte oder Stundenzettel erfasst, ist es heute weit verbreitet die Zeiten per Software, oft auch per Smartphone oder webbasiert zu erfassen. Für Arbeitgeber ist die Arbeitszeiterfassung per Fingerabdruck aus den verschiedensten Gründen sehr attraktiv. Doch der Gesetzgeber setzt hohe Hürden für diese Nutzung. Vor einer unbedachten Einführung kann wegen der nicht einzuschätzenden Folgen nur gewarnt werden.

erstellt am 31. August. 2020 - in

Zeiterfassungsgerät mit Fingerprint
Susanne Plank auf Pixabay

Es gibt einige Gesetze, wieso ein Arbeitgeber die Arbeitszeiten seiner Mitarbeiter aufzeichnen muss. Ob nach dem ArbZG §16 Satz 2 [1] , dem §17 MiLoG [2] oder anderen Verpflichtungen. Spätestens seit dem EuGH Urteil vom 15.05.2019 [3] ist jeder Arbeitgeber verpflichtet die Arbeitszeiten seiner Mitarbeiter aufzuzeichnen um die Einhaltung von Arbeitszeiten, Pausen und Urlaub nachzuweisen.

Unabhängig von der Gesetzgebung haben viele Arbeitgeber ebenfalls wirtschaftliches Interesse die Arbeitszeiten ihrer Arbeitnehmer zu dokumentieren. Sei es um zu kalkulieren ob neue Mitarbeiter eingestellt werden müssen oder auch um die Lohnzahlung gerecht zu halten.

Nun stellt sich die Frage, wie kann der Arbeitsaufwand so gering wie möglich gehalten und die Kosten entsprechend minimiert werden. Da kommt die automatische Arbeitszeiterfassung per Fingerprint doch wie gerufen. Entsprechende Arbeitszeiterfassungsgeräte gibt es schon für unter 50€. Die Daten werden am Monatsende einfach in eine Datei für Tabellenkalkulation exportiert und der Buchhaltung oder dem Dienstleister für die Lohnabrechnung zur Verfügung gestellt. Somit entfallen die Kosten für elektronische Karten oder die zeitaufwendige Auswertung der Stundenzettel. Wer ein wenig mehr ausgeben will, der bekommt die Arbeitszeiterfassungsgeräte sogar mit Software as a Service (SaaS). Die Daten werden bei dem Anbieter auf dem Server gespeichert und Mitarbeiter können Ihre Arbeitszeiten per App in die Cloud speichern. Die Lohnbuchhaltung bekommt ebenfalls Zugriff und kann problemlos die Abrechnungen für die Mitarbeiter erstellen. Wäre da nicht der Datenschutz.

DSGVO Konformität entscheidet nicht der Anbieter

„Der Datenschutz ist gewährleistet, mein Anbieter hat mir versichert, dass alles DSGVO Konform ist.“ antwortet der ein oder andere.

Was heißt aber Datenschutzkonform? Bei den einfachen Zeiterfassungsgeräten ohne Cloudspeicherung kann der Anbieter keine Aussage zur Datenschutzkonformen Nutzung machen. Die Nutzung entzieht sich seiner Kontrolle. Bei Cloudbasierten Geräten kann der Anbieter nur seine eigene datenschutzkonforme Verarbeitung beurteilen jedoch nicht die Verarbeitung und die Rechtsgrundlage des Kunden.

Wie weit eine datenschutzkonforme Nutzung einer Arbeitszeiterfassung mit biometrischen Daten DSGVO-Konform ist, kann nur der Verantwortliche entscheiden. Nicht der Anbieter. Somit ist es immer in der Verantwortung des Verantwortlichen eine Risikobewertung, die Rechtsgrundlage und die gesicherte Verarbeitung zu gewährleisten. Dies gilt bei jeglicher Datenverarbeitung nicht nur in diesem Kontext.

Artikel 9 der DSGVO verbietet erst mal grundsätzlich die Verarbeitung von biometrischen Daten unter die auch sogenannte Minutien [4] (Kordination der Schnittpunkte) eines Fingerabdrucks fallen. Nur in wenigen Ausnahme fällen ist eine Nutzung möglich.

Dies wäre Beispielhaft bei einem Rechenzentrum, einer militärischen Einrichtung oder anderer hochsensibler Einrichtungen der Fall. Dort hat der Verantwortliche den unberechtigten Zugriff durch geeignete organisatorischer und technischer Maßnahmen sicher zu stellen. Der Malerbetrieb oder das Kaufhaus fallen sicherlich nicht darunter.

Zusätzlich zur Verhältnismäßigkeitsprüfung im Rahmen der Erforderlichkeit darf kein Grund zu der Annahme bestehen, dass die schutzwürdigen Interessen der betroffenen Beschäftigten die Interessen des verantwortlichen Arbeitgebers an der Verarbeitung überwiegen (BT-Drs. 18/11325, S. 98). Erst wenn also diese Erforderlichkeit und die Feststellung, dass schutzwürdige Interessen der Betroffenen nicht entgegenstehen grundsätzlich bejaht werden sollten, kommt es auf die von der Beklagten auch angegebenen „geeigneten Garantien für die Grundrechte und die Interessen der betroffenen Person“ an, also technische und organisatorische Vorkehrungen wie z.B. Anonymisierung, Pseudonymisierung und Zugriffsbeschränkungen auf die biometrischen Daten des Klägers.

LAG Berlin-Brandenburg [5]

Das LAG Berlin-Brandenburg hat in einem Urteil [5] festgehalten, dass ein Arbeitnehmer nicht zur Nutzung einer Arbeitszeiterfassung mit Fingerabdruck verpflichtet werden kann. Ausnahmen sind eng gesteckt. Die Pressemitteilung [6] wurde am 25.08.2020 veröffentlicht.

Vor der unbedachten Anschaffung von Zeiterfassungsgeräten über biometrische Daten ist abzuraten.

Jeder Verantwortliche sollte im Blick haben, dass Anbieter solcher Geräte ihre Ware verkaufen wollen. Sie sind nicht dafür verantwortlich, ob ihre Kunden die Gesetze einhalten.

Wer sich doch für eine Zeiterfassung mit biometrischen Daten entscheidet, benötigt von jedem Mitarbeiter eine freiwillige Einwilligung die durch die Rechenschaftspflicht auch nach zuweisen ist. Die Freiwilligkeit ist im Beschäftigungsverhältnis sehr schwer zu belegen. Sollte die Einwilligung widerrufen werden, müssen alternative Lösungen bereitgestellt werden.

Nicht zu unterschätzen ist ebenfalls die enorme Höhe der Bußgelder von bis zu 20.000.000 € oder 4% des weltweiten Umsatzes, die bei Verstößen zu zahlen sind. Natürlich muss der Handwerksbetrieb mit 10 Angestellten keine 20.000.000 € befürchten. Im Artikel 83 Punkt 1 der DSGVO wird allerdings festgeschrieben das ein Bußgeld wirksam, verhältnismäßig und abschreckend sein muss. Dies bedeutet es tut auf jeden Fall weh und das moderne Arbeitszeiterfassungsgerät muss ausgetauscht werden. Es reicht die Beschwerde eines unzufrieden Arbeitnehmers bei der Datenschutzbehörde und diese ist verpflichtet dem Nachzugehen.

Was ist zu tun?

Vor Einführung einer Arbeitszeiterfassung mit biometrischen Daten ist eine Risikoanalyse bzw. ein Datenschutzfolgenabschätzung [7] durchzuführen, welche ohne fachkundige Hilfe nur schwer gemäß den üblichen Standards umsetzbar ist.

Kommentare sind geschlossen.