Zeiterfassung per Fingerabdruck?
Handelt ein Arbeitgeber rechtmäßig, wenn er von seinen Angestellten verlangt, die Arbeitszeit mittels Fingerabdrucks zu erfassen? Mit dieser Frage befasste sich nun das LAG Berlin-Brandenburg.
Sachverhalt
Eine Arztpraxis schaffte zur Arbeitszeiterfassung ein neues System namens „Zeus“ an. Die Nutzung dieses Systems erforderte, dass die entsprechenden Mitarbeiter ihren Fingerabdruck auf einem bereitgestellten Scanner abgaben. Dabei wurden die Fingerabdrücke jedoch nicht im Detail verarbeitet, sondern lediglich die „Fingerlinienverzweigungen“ (sog. Minutien). Anschließend erhielt die Minutie eine entsprechende Record-Nummer. Ein Bezug zu einer natürlichen Person konnte auf diese Weise nicht hergestellt werden.Trotz dieser Sicherheitsmaßnahmen weigerte sich ein Angestellter, das System – insbesondere aus datenschutzrechtlichen Bedenken – zu benutzen. Daraufhin folgten Abmahnung, gegen die sich der Angestellte klageweise zur Wehr setzte.
Wie entschied das Gericht?
Das LAG Berlin-Brandenburg bestätigte die rechtliche Auffassung des Angestellten hinsichtlich seiner datenschutzrechtlichen Bedenken. Auch, so das Gericht, wenn das eingesetzte System nur die Minutien an sich verarbeite, handle es sich dennoch um die Verarbeitung von biometrischen Daten. Deshalb finde der Art. 9 II DSGVO Anwendung, welcher an die Verarbeitung sensibler Daten besondere Anforderungen stellt. Insoweit sei die Verarbeitung biometrischer Daten nur ausnahmsweise zulässig. Eine solche Ausnahme komme in Betracht, wenn die Verarbeitung unbedingt erforderlich sei, um die jeweilige Aufgabe zu erfüllen. Eine solche Erforderlichkeit könne das Gericht im Hinblick auf den Sachverhalt allerdings nicht erkennen. Aus diesem Grund bleibe es dem Arbeitgeber versagt, die Daten ohne die Einwilligung des Arbeitnehmers zu erfassen.
Gibt es weitere „sensible“ Daten?
Der Art. 9 I DSGVO enthält eine Auflistung solcher Daten, deren Verarbeitung grundsätzlich unzulässig sind.
Das sind zum einen personenbezogene Daten, aus denen
- die rassische und ethnische Herkunft,
- politische Meinungen,
- religiöse oder weltanschauliche Überzeugungen oder
- die Gewerkschaftszugehörigkeit
hervorgehen.
Zum anderen fallen folgenden Daten in die besondere Datenkategorie des Art. 9 DSGVO:
- Genetische Daten,
- biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
- Gesundheitsdaten oder
- Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Wann oder wie dürfen diese Daten dennoch verarbeitet werden?
Grundsätzlich ist die Verarbeitung der oben genannten untersagt. Ausnahmsweise erlaubt die DSGVO eine Verarbeitung in den folgenden Fällen:
- Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten ausdrücklich eingewilligt.
- Die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann.
- Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben.
- Die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden.
- Die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat.
- Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich.
- Die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich.
- Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich.
- Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten.
- Sowie die Verarbeitung (unter Einschränkungen) für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 DSGVO.
Das Bundesdatenschutzgesetz konkretisiert die Anforderungen in § 48 BDSG weiter. Danach ist die Verarbeitung besonderer Kategorien personenbezogener Daten nur zulässig, sofern sie zur Aufgabenerfüllung unbedingt erforderlich ist. Ist die Verarbeitung nach alldem zulässig, sind geeignete Garantien bei für die Rechtsgüter der betroffenen Personen vorzusehen. Beispielhaft nennt der § 48 II BDSG folgende Verfahren, die als Garantie in diesem Rahmen geeignet sind:
- Spezifische Anforderungen an die Datensicherheit oder die Datenschutzkontrolle,
- die Festlegung von besonderen Aussonderungsprüffristen,
- die Sensibilisierung der an Verarbeitungsvorgängen Beteiligten,
- die Beschränkung des Zugangs zu den personenbezogenen Daten innerhalb der verantwortlichen Stelle,
- die von anderen Daten getrennte Verarbeitung,
- die Pseudonymisierung personenbezogener Daten,
- die Verschlüsselung personenbezogener Daten oder
- spezifische Verfahrensregelungen, die im Fall einer Übermittlung oder Verarbeitung für andere Zwecke die Rechtmäßigkeit der Verarbeitung sicherstellen.
In Anbetracht der vorherrschenden Gesetzeslage wird eines deutlich klar: Das „Ob“ der Verarbeitung der in Art. 9 DSGVO genannten Daten steht bereits unter strengen Voraussetzungen. Sofern man diese technischen und rechtlichen Voraussetzungen erfüllt, stellt das Gesetz weitere Anforderungen an das „Wie“ der Verarbeitung. Aufgrund harter Sanktionsmöglichkeiten öffentlich-rechtlicher Natur und möglicherweise auch in zivilrechtlicher Hinsicht drohenden Schadenersatzzahlungen ist die Einhaltung der Anforderungen keineswegs zu unterschätzen.
Dementsprechend sollten alle Unternehmensprozesse entsprechend analysiert und überprüft werden.