Vorsicht bei biometrischer Kontrolle von Arbeitnehmern!

Vorsicht bei biometrischer Kontrolle von Arbeitnehmern!

Eine holländische Firma hat vor ca. zwei Jahren begonnen die Arbeitszeiten ihrer Mitarbeiter mittels elektronischer Erfassung der Fingerabdrücke zu erfassen. Mit einem Scanner wurden Kommen- und Gehen-Zeiten sowie Pausen registriert. Angeblich sollten die elektronische Daten dazu dienen, dass Fehlbuchungen vermieden werden.

Hohes Bußgeld von 725.000 EUR verhängt

Die holländische Datenschutzbehörde hat nun am 30.4.2020 bekanntgegeben, dass gegen die betroffene Firma ein Bußgeld in Höhe von 725.000 Euro verhängt wurde. Die Firma konnte keinen Nachweis der Einwilligung der betroffenen Mitarbeiter vorlegen. Gemäss dem niederländischen Datenschutzgesetz ist die Verwendung biometrischer Daten verboten, es sei denn, dass eine begründete Ausnahme, z.B. zu Authentifizierungs- oder Sicherheitszwecken vorliegt. Diese Ausnahme ist strikte zu prüfen und zu dokumentieren.

Quelle: https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-bedrijf-voor-verwerken-vingerafdrukken-werknemers

Biometrische Daten sind personenbezogene Daten

Bei biometrischen Daten handelt es sich um personenbezogene Daten, zumindest aber um personenbeziehbare Daten. Daher ist auch in Deutschland ihre Erhebung, Speicherung und Verarbeitung nur zulässig, wenn entweder eine gesetzliche Grundlage oder eine freiwillige und informierte Einwilligung des Betroffenen vorliegt.

Unbedingt zu beachten ist, dass biometrische Daten zur Authentifizierung zu den besonderen Kategorien personenbezogener Daten nach Art. 9 Abs.1 DSGVO zählen. Für die Erfassung, Speicherung usw. solcher Daten im Beschäftigungsverhältnis sind die Voraussetzungen des § 26 BDSG (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) maßgeblich.

Keine biometrische Arbeitszeiterfassung ohne Einwilligung

Insbesondere für Unternehmen mit sensiblen Geschäfts-, Produktions- oder Forschungsbereichen dürften biometrische Zugangsverfahren zu kritischen Bereichen datenschutzrechtlich zu begründen sein. Wesentlich höhere Hürden bestehen dagegen für die Arbeitszeiterfassung.  So wurde die Messlatte für die Verwendung zur Arbeitszeiterfassung bereits gerichtlich hoch angesetzt und das Arbeitsgericht Berlin hat entschieden, dass keine Erfassung mittels Fingerabdruck ohne Einwilligung erfolgen darf (ArbG Berlin, Urteil vom 16.10.2019 – 29 Ca 5451/19).

Datenschutz-Folgenabschätzung und Zustimmung des Betriebsrats nötig

Generell wird von unseren Datenschutzbehörden für die Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung von Personen gemäß Art. 35 Abs.4 DSGVO eine Datenschutz-Folgenabschätzung verlangt. Zudem sollten alle Firmen mit Betriebsrat vor der Einführung eines solchen Systems die Zustimmung des Betriebsrats gemäß Art. 87 Abs.1 Nr.6 BetrVG einholen.

Sie haben Fragen zum Datenschutz im Unternehmen oder benötigen kompetente Unterstützung?