Arbeitsgericht Berlin: Arbeitszeiterfassung per Fingerabdruck ist ohne Einwilligung der Beschäftigten unzulässig

WS/ Dezember 19, 2019/ alle Beiträge, Beschäftigtendatenschutz/ 0Kommentare

Das Arbeitsgericht Berlin hat in einem Urteil vom 16.10.2019 (Aktenzeichen: 29 Ca 5451/19) entschieden, dass eine Zeiterfassung über ein Zeiterfassungssystem, das über einen Fingerabdruck der Beschäftigten, die Arbeitszeiten erfasst, nicht ohne Einwilligung der Beschäftigten erfolgen darf.

Über was hatte das Arbeitsgericht zu entscheiden?

In einem Unternehmen, in dem es (nach dem Urteilstext zu vermuten) keinen Betriebsrat gibt, wurde ein neues – auf Fingerabdrücken basierenden – Zeiterfassungssystems eingeführt. Im Urteilstext ist erkennbar, dass es sich um das Zeiterfassungssystems ZEUS der ISGUS GmbH handeln muss.

Quelle: Homepage der ISGUS GmbH

Das Unternehmen hatte den Beschäftigten per Rundmail mitgeteilt, dass mit der Einführung von ZEUS nur noch die Arbeitszeiten anerkannt würden, die von diesem Zeiterfassungssystem registriert würden. Ein langjährig Beschäftigter des Unternehmens verweigerte dies und erhielt deshalb vom Unternehmen eine Abmahnung. Diese lies er mit seiner Klage vom Arbeitsgericht auf ihre Rechtmäßigkeit überprüfen.

Wie hat das Arbeitsgericht entschieden?

Das Arbeitsgericht Berlin hat den Einsatz des Zeiterfassungssystem datenschutzrechtlich für unzulässig erklärt, weil keine Einwilligung des betroffenen Beschäftigten vorliege und auch keine andere Rechtsgrundlage vorhanden sei, um im beklagten Unternehmen Arbeitszeiterfassung per Fingerabdruck zu ermöglichen. In der Urteilsbegründung wird ausgeführt:

„Der Kläger ist nicht verpflichtet, das Zeiterfassungssystem ZEUS zu nutzen. Erfolgte die Zeiterfassung früher üblicherweise analog mittels Stechuhr, ist heute eine digitale Zeiterfassung, zum Beispiel über softwarebasierte oder webbasierte Zeiterfassungssysteme, teilweise auch per Smartphone oder Tablet, die Regel. Relativ neu ist die digitale Zeiterfassung mittels Fingerprint. Diese Form der Arbeitszeiterfassung soll unter anderem verhindern, dass Mitarbeiter für Kollegen ‚mitstempeln‘ und hierdurch Arbeitszeitbetrug begehen. Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden. Datenschutzrechtlich handelt es sich bei dem Minutiendatensatz um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutiendatensätzen – ist daher nach Artikel 9 Abs. 1 GSGVO grundsätzlich verboten. Allerdings enthält Artikel 9 Abs. 2 GSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände ‚Erforderlichkeit‘, ‚Freiwillige Einwilligung‘ und ‚Kollektivvereinbarung‘. Eine Einwilligung und eine Kollektivvereinbarung liegen hier nicht vor. Folglich ist zu prüfen, ob die Verarbeitung der biometrischen Daten im Rahmen der Zwecke der Beschäftigungsverhältnisses im Sinne des § 26 Abs. 1 BDSG erforderlich ist, damit der Verantwortliche (Arbeitgeber) den ihm ‚aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes‘ erwachsenden Rechte und Pflichten nachkommen kann. Es darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person (des Beschäftigten) an dem Ausschluss der Verarbeitung überwiegt. Biometrische Merkmale eines Beschäftigten darf der Arbeitgeber nach § 26 Abs. 3 BDSG somit nur dann verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.“ (Randnummern 24 – 29)

In einer dreistufigen Verfahren prüfte das Arbeitsgericht das vom Unternehmen eingeführte Zeiterfassungssystem:

1. „Das biometrische Verfahren muss für die Zwecke des Beschäftigungsverhältnisses geeignet sein, das heißt, der jeweils auf das Beschäftigungsverhältnis bezogene Zweck muss tatsächlich gefördert werden können.
2. Es darf kein anderes, gleich wirksames, das Persönlichkeitsrecht weniger beeinträchtigendes Mittel existieren.
3. Als Ergebnis einer umfassenden Abwägung der schutzwürdigen Interessen und Grundrechte des Arbeitnehmers und des Arbeitgebers muss die Beeinträchtigung des Persönlichkeitsrechts des Beschäftigten durch das Biometrische Verfahren in einem angemessenen Verhältnis zu dem angestrebten Zweck der Datenverwendung stehen…“ (Randnummern 30 – 32).

Die Schlussfolgerung des Arbeitsgerichts Berlin: „Dabei gilt folgende Regel: Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangssicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden …“ (Randnummer 33)

Bewundernswert (und leider nicht selbstverständlich) ist der Mut des klageführenden Beschäftigten, der in einem Unternehmen ohne gewählte betriebliche Interessenvertretung seine Rechte aus der Datenschutz-Grundverordnung (DSGVO) und den Bundesdatenschutzgesetz (BDSG) selbst wahrgenommen hat. Und Glückwunsch, dass er sich damit vor dem Arbeitsgericht Berlin durchsetzen konnte.