14.10.2020

Betriebsratscheck: Ist biometrische Zeiterfassung rechtmäßig?

Die Erfassung der Arbeitszeit mithilfe biometrischer Systeme wird immer beliebter. Doch damit sind viele datenschutzrechtliche Fragen verbunden. Da Sie als Betriebsrat hier erzwingbare Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 2, 3 und 6 BetrVG haben, ist es hilfreich, die Grundzüge zu kennen – das hilft Ihnen beim Verhandeln der Betriebsvereinbarung.

Betriebsrat Datenschutz

Der Streitfall: Mitarbeiter verweigert Zeiterfassung

Mitbestimmung. Die Beteiligten streiten über die Entfernung dreier Abmahnungen aus der Personalakte des Klägers. Im Betrieb wurde das Zeiterfassungssystem Modell „ZEUS“ eingeführt. Bis zur Einführung des neuen Zeiterfassungssystems trugen die Mitarbeiter des Arbeitgebers auf dem ausgedruckten und ausliegenden Dienstplan per Hand ihre geleisteten Arbeitszeiten ein. Mit einer Rundmail wurde allen Mitarbeitern mitgeteilt, wie das Zeiterfassungssystem funktioniert, nämlich durch die Erhebung der Minutien. Minutien sind feine Merkmale des Fingerabdrucks, und zwar die Endpunkte und Verzweigungen der Papillarleisten, also der Hautrillen auf der Oberhaut des menschlichen Fingers. Diese sind bei jedem Menschen anders. Somit wird der Fingerabdruck einzigartig und ist ohne Verwechslungsgefahr zuzuordnen.

Mehrere Abmahnungen wegen verweigerter Einwilligung

Der Kläger weigerte sich in der Folgezeit, das Zeiterfassungssystem zu benutzen, insbesondere erteilte er auch keine Einwilligung. Daraufhin erhielt er mehrere Abmahnungen. Der Arbeitnehmer klagte auf Entfernung der erwähnten Abmahnungen aus der Personalakte. Er meinte, hinsichtlich der Nichtbenutzung des Zeiterfassungssystems ZEUS gelte, dass er nicht eingewilligt habe. Er habe in der Vergangenheit seine Arbeitszeiten präzise und konsequent durch das bisher verwendete System erfasst.

Die Entscheidung: Der Mitarbeiter bekommt Recht

Vor dem ArbG bekam der Kläger recht. Die Abmahnungen sind aus der Personalakte zu entfernen. Der Kläger ist nicht verpflichtet, das Zeiterfassungssystem ZEUS zu nutzen.

Digitale Zeiterfassung erhöht Sicherheit

Beim verwendeten System werden die Merkmale des unverwechselbaren Fingerabdrucks ermittelt. Diese sogenannten Minutien sind als biometrische Daten nach Art. 9 Abs. 1 Datenschutzgrundverordnung (DSGVO) einzustufen und gehören somit zu den besonderen Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 Bundesdatenschutzgesetz (BDSG). Weil mit ihrer Erhebung so stark in die Rechte des Betreffenden eingegriffen wird, ist dies grundsätzlich verboten. Allerdings sieht das Gesetz einige Fälle vor, in denen die Erhebung dennoch erlaubt ist.

War die Verarbeitung der Daten zur Durchführung des Arbeitsverhältnisses erforderlich?

Eine Einwilligung des Arbeitnehmers oder eine Betriebsvereinbarung gab es in diesem Fall nicht. Damit wäre der Einsatz des Systems nur zulässig, wenn die Verarbeitung der biometrischen Daten im Rahmen der Zwecke des Beschäftigungsverhältnisses im Sinne des § 26 Abs. 1 BDSG erforderlich ist. Die Erhebung und Verwendung von biometrischen Merkmalen muss folgende Voraussetzungen erfüllen:

  1. Das biometrische Verfahren muss für die Zwecke des Beschäftigungsverhältnisses geeignet sein.
  2. Es darf kein anderes, gleich wirksames, das Persönlichkeitsrecht weniger beeinträchtigendes Mittel existieren.
  3. Als Ergebnis einer umfassenden Abwägung der schutzwürdigen Interessen und Grundrechte des Arbeitnehmers und des Arbeitgebers muss die Beeinträchtigung des Persönlichkeitsrechts des Beschäftigten durch das biometrische Verfahren in einem angemessenen Verhältnis zu dem angestrebten Zweck der Datenverwendung stehen

Beeinträchtigung der Grundrechte

Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „Mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält. Deshalb war die Datenerhebung nicht erforderlich, frei nach dem Motto: kein Anhaltspunkt für ausufernden Missbrauch – keine Zulässigkeit ausufernder Kontrolle. ArbG Berlin, Urteil vom 16.10.2019, Az.: 29 Ca 5451/19

Das bedeutet für Sie als Betriebsrat

Der Fall zeigt beinahe schulbuchmäßig auf, welche grundlegenden Pflichten Arbeitgeber beim Schutz der Beschäftigtendaten zu beachten haben. Der erste Grundsatz dabei lautet: Jede Form der Erhebung, Verarbeitung oder Speicherung von Arbeitnehmerdaten braucht eine Rechtsgrundlage. In diesem Fall war dies daher zunächst die gesetzliche Ermächtigungsvorschrift des § 26 Abs. 3 BDSG. Danach können Arbeitgeber ohne eine ausdrückliche Erlaubnis diejenigen Daten erheben, verarbeiten und speichern, die zur Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sind. Dazu zählen etwa das Geburtsdatum, die Bankverbindung, die Adresse, etwaige Kinder etc. Je sensibler diese Daten sind (z. B. bei krankheitsbedingter Arbeitsunfähigkeit), desto besser sind diese vor dem Zugriff Unberechtigter zu schützen. Hier handelte es sich aber nicht um eine erforderliche Erhebung der Daten. Das Gericht hat sehr klar ausgeführt, dass ein biometrisches Zeiterfassungssystem weit über die (so gering wie möglich zu haltenden) Anforderungen der Erforderlichkeit hinausgeht. Etwas anderes hätte nur gelten können, wenn es etwa bei der bisherigen Zeiterfassung zu erheblichen Missbrauchsfällen gekommen wäre, sodass enorm verstärkte Kontrollen nötig gewesen wären. Dass das so war, hat aber nicht einmal der Arbeitgeber behauptet. Damit war die Erforderlichkeit vom Tisch – und ebenso die Erlaubnisnorm des § 26 Abs. 3 BDSG als Grundlage der Datenverarbeitung.

Einwilligung bei schwerwiegenden Eingriffen in die Persönlichkeitsrechte erforderlich

Damit wäre die Datenverarbeitung durch das biometrische Zeiterfassungssystem durch den Arbeitgeber nur zulässig, wenn der Arbeitnehmer hierin wirksam eingewilligt hätte. Doch das hat er gerade nicht getan – und dafür (zu Unrecht) die Abmahnungen kassiert. Da die Datenverarbeitung eben jedoch nicht erforderlich war und keine Einwilligung des Beschäftigten vorlag, gab es für den Arbeitgeber keine gültige Rechtsgrundlage zur Datenverarbeitung durch das biometrische Zeiterfassungssystem. Somit konnte der Arbeitgeber den Kläger auch nicht wegen der verweigerten Nutzung des Systems abmahnen.

Einwilligungen von Arbeitnehmern sind grundsätzlich problematisch

Immer wenn die Datenverarbeitung für das Arbeitsverhältnis nicht erforderlich ist, darf diese nur erfolgen, wenn der Arbeitnehmer eingewilligt hat. Doch die Einwilligung ist nur dann wirksam, wenn der Beschäftigte genau informiert wurde, er also weiß, worin er einwilligt, und vor allem dann, wenn die Einwilligung komplett freiwillig und ohne jeden Druck erfolgt ist. An diesem Kriterium der Freiwilligkeit haben viele Arbeitsrechtler großen Zweifel. Denn würde ein Arbeitnehmer, der vielleicht Angst vor arbeitsrechtlichen Konsequenzen (so wie in diesem Fall die Abmahnungen) hat, wirklich „aus freien Stücken“ einwilligen oder vielleicht doch nur, um Ärger mit dem Chef zu vermeiden? Diese Problematik gilt es bei Einwilligungen im Bereich des Arbeitnehmerdatenschutzes immer vor Augen zu haben.

Zur Zulässigkeit von biometrischen Systemen generell

Biometrische Systeme wurden und werden als Zugangs- und Zutrittssysteme verwendet. Doch nicht zuletzt das Urteil des EuGH zur Zeiterfassung vom 14. Mai 2019 (C-55/18) könnte dazu führen, dass auch die Zeiterfassung so miterledigt wird. Denn künftig sind Arbeitgeber verpflichtet, die Arbeitszeit genau und nachweisbar zu erfassen. Generell gilt: Die Nutzung biometrischer Erfassungssysteme ist (ohne die – wie gesehen oft problematische – Einwilligung des Arbeitnehmers) nur dann zulässig, wenn es eben begründeten Anlass zu schwerem Missbrauch bei der Zeiterfassung gibt oder im Betrieb wirklich (keine weniger in die Grundrechte eingreifende) mildere Methode zur Zeiterfassung eingesetzt werden kann. Und das dürfte nur sehr selten der Fall sein.

Einsatz biometrischer Zeiterfassungssysteme auf Grundlage einer Betriebsvereinbarung denkbar

Gemäß § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat erzwingbar mitzubestimmen bei der Einführung technischer Einrichtungen, die zur Kontrolle der Leistung und des Verhaltens der Beschäftigten geeignet sind, also auch bei biometrischer Zeiterfassung. Zusätzlich dazu sieht § 26 Abs. 4 BDSG vor, dass auch eine Betriebsvereinbarung eine Rechtsgrundlage für eine Verarbeitung der Beschäftigtendaten sein kann. Wichtig ist in einem solchen Fall, dass Arbeitgeber und Betriebsrat vor dem Abschluss der Vereinbarung fachkundigen Rat einholen. Sonst drohen Bußgelder in Millionenhöhe. Außerdem muss beim Einsatz eines biometrischen Zeiterfassungssystems eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO für die geplante Verarbeitung in der Regel durchgeführt werden – und zwar vor der geplanten Verarbeitung.

Autor: Silke Rohde (ist Rechtsanwältin & Journalistin sowie Chefredakteurin des Fachmagazins Betriebsrat KOMPAKT.)