Biometrische Arbeitszeiterfassung mittels Fingerabdruck nur mit Einwilligung

Biometrische Zeiterfassung

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit beschäftigt sich in seinem 49. Tätigkeitsbericht zum Datenschutz und den 3. Tätigkeitsbericht zur Informationsfreiheit ausführlich mit der Frage, ob Verantwortliche, die ihre Beschäftigten verpflichten, an Systemen teilzunehmen, welche die Zeit mittels Fingerabdrucks erfassen, um hierdurch Missbrauch und Manipulation zu verhindern, gegen die Bestimmungen der DS-GVO verstoßen und welche aufsichtsbehördlichen Konsequenzen daraus erwachsen können (Ziffer 7.1).

Anlass für diese Auseinandersetzung sei die Frage eines Beschwerdeführers gewesen, ob der Einsatz eines solchen Systems ohne seine Einwilligung datenschutzrechtlich zulässig sei.
Eine beim Verantwortlichem durchgeführte Anhörung habe ergeben, dass er sich für die Einführung des Systems entschieden habe, nachdem es bei dem früher im Einsatz befindlichen Zeiterfassungssystem wiederholt zu Missbrauch und Manipulation durch einzelne Arbeitnehmer gekommen sei. Um hier Abhilfe zu schaffen, sei ein manipulationssicheres System eingeführt worden. Der Verantwortliche führte als Argument auf, dass diese Maßnahme auch im Interesse der rechtstreuen Arbeitnehmer geboten wäre. Aufgrund des genannten Einsatzzweckes habe der Verantwortliche die Auffassung vertreten, dass als Rechtsgrundlage Art. 9 Abs. 2 lit. b DS-GVO zur Anwendung gelange, da der Einsatz des biometrischen Zeiterfassungssystems zur Ausübung von Rechten aus dem Arbeitsrecht erforderlich sei.

Dieser Einlassung und Argumentation widerspricht die Aufsichtsbehörde im wesentlichen aus folgenden Erwägungen heraus:

1. Art. 9 Abs. 1 DS-GVO enthalte ein generelles Verarbeitungsverbot für besondere Kategorien personenbezogener Daten. Hierunter fallen nach dem Wortlaut der Vorschrift auch die zuvor beschriebenen biometrischen Daten (etwa Fingerabdruck, Iris, Netzhaut, Gesicht, Handgeometrie oder auch das Handvenenmuster) zur eindeutigen Identifizierung einer natürlichen Person.

2. Durch die Regelung des Art. 5 Abs. 1 lit. a DS-GVO werde bestimmt, dass die Verarbeitung personenbezogener Daten nur bei Vorliegen eines gesetzlichen Erlaubnistatbestandes zulässig sei (sog. Erlaubnisvorbehalt). Die Vorschrift des Art. 6 Abs. 1 lit. a – f) DS-GVO enthalte die Erlaubnistatbestände, die eine Verarbeitung personenbezogener Daten rechtfertigen können. Für die Verarbeitung besonderer Kategorien personenbezogener Daten, worunter auch biometrische Daten im Sinne des Art. 4 Ziffer 14 DS-GVO fallen, seien die gesetzlichen Anforderungen noch strenger: Art. 9 Abs. 1 Satz 1 DS-GVO untersagt die Verarbeitung besonderer Kategorien personenbezogener Daten (Verbotsprinzip). Eine abschließende Aufzählung der Ausnahmen vom Verarbeitungsverbot enthalte Art. 9 Abs. 2 DS-GVO.
Ausgehend von dem beschriebenen Fall folgt hieraus, dass – sofern für das biometrische Zeiterfassungssystem mittels Fingerabdrucks beim Verantwortlichen kein Ausnahmetatbestand des Art. 9 Abs. 2 DS-GVO greift –, die Nutzung des Systems verboten ist, vgl. Art. 9 Abs. 1 DS-GVO.

3. Die Auffassung des Verantwortlichen , dass als Rechtsgrundlage Art. 9 Abs. 2 lit. b DS-GVO zur Anwendung gelange, sei nicht richtig. Die Vorschrift sei für sich genommen keine Rechtsgrundlage, welche die Verarbeitung besonderer Kategorien personenbezogener Daten gestatte.

4. §26 Abs. 3 Satz 2 BDSG ermögliche dem Verantwortlichen die Verarbeitung besonderer Kategorien personenbezogener Daten – mithin auch biometrischer Daten – auf der Grundlage einer sich ausdrücklich auf diese Daten beziehenden Einwilligung der Beschäftigten.
Die Anforderungen an eine wirksame Einwilligungserklärung sollten von Verantwortlichen jedoch nicht unterschätzt werden: Neben §26 Abs. 3 Satz 2 BDSG seien die Voraussetzungen des §26 Abs. 2 BDSG zu beachten. Darüber hinaus sei der Verantwortliche für die Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten verantwortlich und müsse deren Einhaltung nachweisen können (Rechenschaftspflicht), vgl. Art. 5 Abs. 2 DS-GVO.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

(Foto: katz23 – stock.adobe.com)

Letztes Update:16.06.21

  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    940.10 € Mehr erfahren
  • Handbuch Beschäftigtendatenschutz

    Handbuch Beschäftigtendatenschutz

    Buch

    139.99 € Mehr erfahren
  • Datenschutz Aktuell

    Datenschutz Aktuell

    Seminar

    678.60 € Mehr erfahren
  • Fax

    Nutzung von Fax-Diensten bei sensiblen Daten unzulässig

    Seit der offiziellen Einführung des Faxdienstes in Deutschland durch die damalige Deutsche Bundespost sind mehr als 40 Jahre vergangen. Der Faxdienst wird in Deutschland damit fast genauso lange genutzt, wie es Videotext (Teletext) gibt. Beide Dienste erfreuen sich in Deutschland eines Nutzerkreises in Millionenhöhe. Geht es nach dem Willen der deutschen Datenschutz-Aufsichtsbehörden geht es einem

    Mehr erfahren
  • Verwarnung wegen Mitarbeiterexzess

    Regel: Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten Nach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine

    Mehr erfahren
  • Impfstatus

    Impfstatus: Abfrage durch Arbeitgeber

    Der Bundestag hat am Dienstag, 7. September 2021 einstimmig dem von den Koalitionsfraktionen initiierten 30-Milliarden-Euro-Aufbaufonds für die vom Juli-Hochwasser betroffenen Gebiete zugestimmt. Der angenommene Gesetzentwurf, mit dem auch das Infektionsschutzgesetz mit Blick auf die Corona-Pandemie geändert wurde, beinhaltet eine Verpflichtung, bei der Einreise über einen Test-, Impf- oder Genesungsnachweis zu verfügen. Ferner ist in bestimmten Einrichtungen eine Auskunftspflicht der Mitarbeiter

    Mehr erfahren