Ob beim Öffnen von Apps, zur Autorisierung von Überweisungen oder hinterlegt auf dem Personalausweis – als digitaler „Türöffner“ rückt zunehmend unser Fingerabdruck als Identifizierungsmittel in den Fokus. Er ist immer dabei und eindeutig zuordenbar und – man kann ihn nicht verlieren. Der Gedanke, auch das Thema der Arbeitszeiterfassung über den Fingerabdruck zu lösen, liegt daher nahe. Der Europäische Gerichtshof (EuGH) hat in seinem Urteil vom 14.05.2019, Rechtssache C-55/18, das landauf, landab unter dem Titel „Rückkehr der Stechuhr“ diskutiert wurde, den Mitgliedsstaaten auferlegt, die Arbeitgeber zu verpflichten, „ein objektives, verlässliches und zugängliches System einzuführen, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann“. Nur so könne sichergestellt werden, dass die Zielsetzung der Richtlinie 2003/88 – die Einhaltung der Mindestruhezeiten und somit der Gesundheitsschutz der Arbeitnehmer – gewährleistet werde. Die konkreten Modalitäten eines solchen Systems oder dessen Form sind dabei den Mitgliedsstaaten selbst überlassen.
Die Frage, wie Arbeitgeber dieser Verpflichtung gerecht werden können, stellt sich vielerorts. Erlaubt ist, was technisch möglich ist – oder etwa nicht? Hiermit hatte sich jüngst das Landesarbeitsgericht (LAG) Berlin-Brandenburg zu beschäftigen, das in seinem Urteil vom 25.08.2020 (Az. 10 Sa 2130/19) dazu Stellung nahm.
Sachverhalt
Die Arbeitgeberin, eine radiologische Praxis, die zu einer größeren Gruppe im Gesundheitswesen gehörte, führte im August 2018 – noch vor Ergehen des EuGH-Urteils – ein elektronisches Zeiterfassungssystem ein, bei dem sich der Mitarbeiter durch Auflegen des Fingers ab- und anmeldet und somit seine Arbeitszeit erfasst. Zu diesem Zweck wurden von allen Arbeitnehmern die sogenannten Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mit Hilfe eines speziellen Algorithmus extrahiert. Dieser Datensatz wurde in einem Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des jeweiligen Arbeitnehmers bei der An- und Abmeldung im Betrieb verwendet. Der Fingerabdruck der Arbeitnehmer wird dabei nicht gespeichert und kann aus dem gespeicherten Minutiendatensatz auch nicht generiert werden. Dieses System trat an die Stelle der vorher stets durch die Arbeitnehmer handschriftlich aufgezeichneten Arbeitszeiten. Mit der Einführung dieses Systems wollte der Arbeitgeber die Möglichkeit von Manipulationen bei der Arbeitszeiterfassung unterbinden. Er war der Meinung, dass Niederschriften, elektronische Chipkarten und Ähnliches mit geringem Aufwand manipulierbar seien. Die Arbeitszeiterfassung an sich, im Sinne der damals noch nicht bekannten Entscheidung des EuGH, stand nicht im Fokus. In dem betriebsratslosen Betrieb wurden die Mitarbeiter wenige Tage vor Einführung des neuen Systems über diese Umstellung ab August 2018 informiert. Spezifische Einverständniserklärungen wurden nicht eingeholt. Ein Arbeitnehmer weigerte sich, das System zu nutzen, und beließ es bei der handschriftlichen Aufzeichnung. Im September 2018 mahnte ihn deswegen der Arbeitgeber ab. Eine weitere Abmahnung erfolgte im März 2019.
Der Arbeitnehmer klagte auf die Entfernung dieser Abmahnungen aus seiner Personalakte, da es keine datenschutzrechtliche Erlaubnis für eine Zeiterfassung unter Nutzung seiner biometrischen Daten gebe. Der Arbeitgeber hatte bezüglich der Richtigkeit der handschriftlichen Aufzeichnungen des Arbeitnehmers keine Einwendungen.
Die Entscheidung
Das Gericht folgte dem erstinstanzlichen Urteil und stellte fest, dass die Zeiterfassung mit Hilfe des Fingerabdrucks hier gegen das Datenschutzrecht verstoße. Deshalb sei der Arbeitnehmer nicht zur Nutzung des Zeiterfassungssystems verpflichtet. Die Abmahnungen seien somit aus der Personalakte zu entfernen.
Das LAG stellte zunächst fest, dass es sich bei dem Minutiendatensatz, der „nur“ Fingerlinienverzweigungen zeige, um biometrische Daten nach Art. 9 Abs. 1 DSGVO handele. Diese Art von personenbezogenen Daten gehört einer besonderen Kategorie an. Sie sind besonders schützenswert, weshalb bei der Verarbeitung solcher Daten strengere Anforderungen gelten als bei anderen personenbezogenen Daten wie etwa der Adresse. Art. 9 DSGVO untersagt deren Verarbeitung grundsätzlich, erlaubt sie aber für Ausnahmefälle. Im vorliegenden Fall lag aber weder ein solcher Erlaubnistatbestand noch eine Einwilligung seitens des klagenden Arbeitnehmers vor. Im Bereich von Arbeitsverhältnissen regeln Art. 9 Abs. 2 b) sowie § 26 Abs. 3 BDSG eine gesetzliche Möglichkeit, wonach die Verarbeitung solcher Daten zulässig sein kann. Für Zwecke, die sich aus dem Arbeitsverhältnis ergeben, ist die Verarbeitung zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes „erforderlich“ ist. Dabei ist immer abzuwägen, ob nicht das Interesse der betroffenen Person gegenüber der Verarbeitung überwiegt.
Das LAG erklärte, es sei nicht ersichtlich, dass ein objektives und verlässliches System zur Arbeitszeiterfassung der Verarbeitung biometrischer Daten bedürfe. Im Rahmen der Prüfung der „Erforderlichkeit“ seien die widerstreitenden Grundrechtspositionen der Parteien abzuwägen: das Interesse des Arbeitgebers an der Erfassung richtiger Daten und das Persönlichkeitsrecht des Arbeitnehmers. Erst wenn die Erforderlichkeit feststehe, komme es darauf an, ob die biometrischen Daten des Arbeitnehmers technisch ausreichend geschützt seien. Das Gericht wies darauf hin, dass die Datenerfassung zu diesem Zweck auch mit einem Chip- oder Transpondersystem erfolgen könne. Auch hier könnten die Sollarbeitszeiten der Arbeitnehmer mit den tatsächlichen automatisiert abgeglichen werden. Auch wenn der Arbeitgeber anführe, bei Chipkarten käme es häufiger zu Verlusten oder Vergessen der Karten und damit zu mehr Ungenauigkeiten in der Erfassung, so überzeuge dies nicht. Auch bei technischen Ausfällen des Systems, das per Fingerabdruck funktioniere, käme es zu Ausfällen, so dass auch hier auf andere Erfassungsmethoden wie handschriftliche Erfassung zurückgegriffen werde. Ebenso ließ das LAG keine Erwägungen gelten, wonach eine genaue Aufzeichnung erforderlich sei, um eventuelle Infektionsketten aufklären zu können. Solche Gefahren müssten feststehen oder müssten im Rahmen einer Gefahrenbeurteilung ermittelt sein, wozu der Arbeitgeber nichts vorgetragen habe.
Dem Einwand der Arbeitgeberin, dass die Zeiterfassung beim Einsatz von Chipkarten eher zu manipulieren sei, entgegnete das Gericht, dass dies nicht ausgeschlossen werden könne. Hier sei aber zu berücksichtigen, dass nach § 26 Abs. 1 Satz 2 BDSG personenbezogene Daten nur verarbeitet werden dürften, wenn „tatsächliche Anhaltspunkte“ diesen Verdacht begründeten. Hier müsse der Eingriffsanlass bei Erfassen dieser Daten von besonderem Gewicht sein. Dazu fehlte dem Gericht jedoch ein konkreter Vortrag.
Fazit
Gerade angesichts des angesprochenen „Stechuhr-Urteils“ des EuGH lohnt sich eine Auseinandersetzung mit dem Urteil. Besonders ist hier, dass das LAG das EuGH-Urteil aufgreift, auch wenn die Erforderlichkeit der Arbeitszeiterfassung im Sinne der Richtlinie 2003/88 bei der Einführung der Zeiterfassung mittels Fingerabdrucks für den Arbeitgeber keine Rolle spielte – vielleicht weil bereits Arbeitszeiten erfasst wurden. Aus dem Urteil wird deutlich, dass Arbeitszeiten zwar auf verschiedene Arten erfasst werden können, diese aber im Hinblick auf das Mittel datenschutzrechtlichen Einschränkungen im Rahmen der Erforderlichkeit, bezogen auf diesen Zweck, unterliegen. Eine Stechuhr muss es nicht geben, ein Chip- oder Transpondersystem erscheint möglich. Die Erfassung der Anwesenheit eines Mitarbeiters mit Hilfe biometrischer Daten darf nicht per se gegen Datenschutzrecht verstoßen. Es kommt darauf an, ob eine Zeiterfassung mittels Fingerabdrucks im konkreten Fall datenschutzrechtlich erforderlich ist, wie zum Beispiel bei Nachweisen, dass Chipkarten missbräuchlich eingesetzt werden. Auch bei Zugangskontrollen zum Schutz besonderer sicherheitsrelevanter Bereiche mag diese Erforderlichkeit gerade für diesen Zweck gegeben sein.
christian.bloth@kallan-legal.de
Hinweis der Redaktion: Zu dem genannten EuGH-Urteil siehe hier. (tw)
