Einsatz von Fingerabdruckscannern zur Arbeitszeiterfassung

Einsatz von Fingerabdruckscannern zur Arbeitszeiterfassung

Seit dem EuGH-Urteil vom 14. Mai 2019 (C-55/18) sind Arbeitgeber verpflichtet, ein System einzuführen, dass die Arbeitszeit der Beschäftigten erfasst. Hierbei gibt es verschiedene Varianten, z. B. die eines Online-Portals, in welchem die Beschäftigten ihre Arbeitszeiten selbständig eintragen, Zeitstempeluhren oder eben auch Fingerabdruckscanner. In diesem Beitrag betrachten wir den Einsatz von Fingerabdruckscannern zur Arbeitszeiterfassung im Zusammenhang mit der DSGVO.

Die Funktionsweise eines Fingerabdruckscanners

Biologen teilen die Fingerkuppe in viele Einzelteile auf. Bei einem Fingerabdruck ist es wichtig, die Papillarleisten (Erhöhungen der Epidermis), Grundmuster, Minuzien und Porenstrukturen zu erfassen. Diese sind bei jedem Menschen anders, sogar bei eineiigen Zwillingen. Also können wir sagen, dass die Erfassung des Fingerabdrucks generell eine zweckerfüllende Variante der Personenzuordnung ist. Ausnahmen gibt es natürlich, beispielsweise bei Personen, die viel mit ihren Händen arbeiten und sich die Haut dadurch abnutzt oder einer sich auf die Fingerhaut auswirkenden genetischen Effekt haben, wodurch diese Papillarleisten nicht (mehr) vorhanden sind.

Anfänglich wird von der Fingerkuppe ein Scan angefertigt, dessen Daten erfasst und durch einen speziellen Algorithmus in eine mathematische Formel umgewandelt. Später wird dann der Fingerscan mit dieser Formel verglichen.

Einsatz zur Arbeitszeiterfassung

Für ein Unternehmen erscheint diese Variante als eine perfekte Option, um sichergehen zu können, dass ein Beschäftigter auch wirklich anwesend ist, um seiner Arbeit nachzugehen. So unterbindet ein Arbeitgeber auch die Möglichkeit, dass ein Kollege für einen anderen die Zeituhr betätigt. Im Fall das Fingerbadruckscans muss die jeweilige Person schließlich vor Ort sein.

Rechtsgrundlage und Zulässigkeit der Verarbeitung

Da es sich bei einem Fingerabdruckscan um ein personenbezogenes Datum besonderer Kategorie (Art. 9 Abs. 1 DSGVO und § 26 Abs. 3 BDSG) – genauer gesagt um ein biometrisches Datum – handelt, darf ein Unternehmen solch ein Datum nicht ohne weiteres verarbeiten. Bei dieser Konstellation muss einerseits die Einwilligung der Beschäftigten gemäß Art. 9 Abs. 2 a) DSGVO vorliegen und andererseits braucht es die Zustimmung des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG. Die Einwilligung muss absolut freiwillig sein. Verweigert ein Beschäftigter diese, darf ihm dadurch in keiner Weise ein Nachteil entstehen. – Im 49. Tätigkeitsbericht des Hessischen Beauftragten für Datenschutz und Informationsfreiheit können Interessenten unter Punkt 7.1 übrigens die Einschätzungen zu diesem Thema einer Datenschutzaufsichtsbehörde nachlesen. –

Technische und organisatorische Maßnahmen

Personenbezogene Daten besonderer Kategorien sind besonders schützenswerte Daten. Das bedeutet, es müssen technische und organisatorische Maßnahmen eingeführt werden, die dem Risiko für die Rechte und Freiheiten betroffener Personen entsprechen. Dieses Risiko ist hierbei höher als die sozusagen allgemeine Verarbeitung personenbezogener Daten.

Datenschutz-Folgenabschätzung

Art. 35 DSGVO Abs. 1 & 4 DSGVO deutet darauf hin, dass im Fall der Verarbeitung von Fingerabdrucken eine Datenschutz-Folgenabschätzung durchzuführen ist. Durch das offizielle Kurzpapier der Datenschutzkonferenz „Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist“ wird dies bestätigt. Die Datenschutz-Folgenabschätzung ist vor Beginn der jeweiligen Verarbeitung durchzuführen. Das heißt, dass folgende Punkte gemäß Art. 35 Abs. 7 DSGVO in einem Dokument festgehalten werden müssen:

1) „[…] eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;

2) eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

3) eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Art. 35 [sic] Absatz 1 DSGVO [sic] und

4) die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.“

Für die Durchführung einer Datenschutz-Folgenabschätzung wird von den Behörden die Software PIA der CNIL (Commission Nationale de l’Informatique et des Libertés) – der französischen Datenschutzaufsichtsbehörde – empfohlen.

Verzeichnis von Verarbeitungstätigkeiten

Beim Erfassen der Arbeitszeit mithilfe eines Fingerabdruckscanners werden personenbezogene Daten verarbeitet. Somit muss dieser Vorgang im Verzeichnis von Verarbeitungstätigkeiten gemäß Art. 30 DSGVO beschrieben werden.

Auftragsverarbeitungsvertrag

Des Weiteren ist zu prüfen, ob ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abzuschließen ist. Es sei denn natürlich, sie haben all die nötige Software, Geräte etc. selbst entwickelt und diese Daten verlassen das Unternehmen nicht.

Fazit

Die Arbeitszeit der Beschäftigten durch Fingerabdruckscanner zu erfassen, ist eine Möglichkeit des Arbeitszeitnachweises. Da es sich hierbei aber um ein biometrisches Datum handelt, sollte man auch prüfen, ob es nicht eine weniger in die Privatsphäre der Beschäftigten einschneidende Variante der Zeiterfassung gibt. Auch ist es vom psychologischen Aspekt eventuell nicht die beste Variante des Zeitnachweises: Ein Arbeitgeber drückt damit aus, dass er seinen Beschäftigten Unaufrichtigkeit zutraut. Falls Sie sich nichtsdestotrotz für diese Variante der Arbeitszeiterfassung entscheiden und Hilfe bei der DSGVO-konformen Umsetzung benötigen, kontaktieren Sie uns. Wir erstellen Ihnen gern ein unverbindliches Angebot.

___________________________________________________________________

Aktualisierung (10.11.2021)

Im 10. Tätigkeitsbericht für das Jahr 2020 behandelt das Bayerische Landesamt für Datenschutzaufsicht dieses Thema. Dabei kommt es zu dem Schluss, dass der Einsatz von Fingerabdruckscannern datenschutzrechtlich unzulässig ist. Dies deshalb, weil die Verarbeitung personenbezogener Daten besonderer Kategorien – biometrische Daten – nicht zur Erfüllung von § 26 Abs. 3 BDSG (für Zwecke eines Beschäftigungsverhältnisses) erforderlich sind. Mehr dazu können Interessierte im Bericht auf S. 43 Punkt 11.4 nachlesen.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.