Digitale Zeiterfassung und Mitarbeiterdatenschutz

Die klassische Stempeluhr wird mehr und mehr aus den Unternehmen verbannt und durch digitale Zeiterfassungssysteme ersetzt. Dies kann vorteilhaft sein, doch ist es datenschutzrechtlich zulässig?

Das Arbeitsgericht Berlin hat der Zeiterfassung mittels Fingerabdruck eine Absage erteilt.

Die klassische Stempeluhr wird mehr und mehr aus den Unternehmen verbannt und durch digitale Zeiterfassungssysteme ersetzt. Die Vorteile der Erfassung der Arbeitsstunden durch Transponder, Chip – und Magnetstreifenkarten liegen auf der Hand: Der Aufwand, die erfassten Zeiten für Stunden – und Gehaltsabrechnung zu verarbeiten, wird deutlich reduziert. So sparen die Unternehmen Zeit und Geld. Überschreitungen der regulären Arbeitszeit werden minutengenau erfasst, nachträgliche Manipulationen erschwert und Fehler vermieden. Davon profitieren auch die Beschäftigten:  Durch die exakte Zeiterfassung am Arbeitsplatz brauchen sie sich nicht mehr über nicht erfasste Überstunden zu ärgern.  

Elektronische Zeiterfassung und Datenschutz: In der Regel zulässig

Die digitale Zeiterfassung am Arbeitsplatz ist auch aus datenschutzrechtlicher Sicht relevant, denn bei den im Zeiterfassungssystem gespeicherten Daten handelt es sich in der Regel um personenbezogene Daten. In den meisten Fällen dürfte die Verarbeitung solcher Daten aber zulässig sein, weil der Arbeitgeber grundsätzlich ein berechtigtes Interesse an der Zeiterfassung hat. Durch die elektronische Zeiterfassung kann der Arbeitnehmer Überstunden genau dokumentieren und dezidiert darlegen, woraus er einen möglichen Anspruch auf Vergütung der Überstunden geltend machen kann.

Die digitale Zeiterfassung ist nach § 26 Abs. 1 BDSG zur Durchführung des Beschäftigungsverhältnisses in aller Regel erforderlich. Auch hat der Arbeitgeber ein berechtigtes Interesse an der Arbeitszeiterfassung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO. Der Dienstherr ist unter Umständen sogar verpflichtet, die tägliche Arbeitszeit seiner Mitarbeiter aufzuzeichnen, wie es etwa § 16 Abs. 2 ArbZG vorschreibt. Danach kann in Einzelfällen auch Art. 6 Abs. 1 S. 1 lit. c DSGVO als Rechtsgrundlage für die (digitale) Zeiterfassung herangezogen werden.

Die Grenze des Erlaubten ist aber regelmäßig dann erreicht, wenn Transponder, Chipkarte und Co. zur Erstellung von Bewegungsprofilen oder einer sonstigen Kontrolle des Arbeitnehmerverhaltens eingesetzt werden.

Mitbestimmungsrecht des Betriebsrats bei elektronischer Zeiterfassung

Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Dazu gehören auch Zeiterfassungssysteme. Denn diese Systeme werden in aller Regel zumindest theoretisch dazu geeignet sein, das Verhalten der Beschäftigten zu kontrollieren. Keine Rolle spielt dabei, ob der Arbeitgeber eine solche Überwachung tatsächlich auch beabsichtigt.

Allerdings hat der Betriebsrat nur das Recht, die konkrete Nutzung des Systems mitzugestalten. Welches Zeiterfassungssystem konkret zum Einsatz kommt oder ob ein solches überhaupt eingeführt wird, obliegt nicht seiner Entscheidungsgewalt.

Dementsprechend tut der Arbeitgeber gut daran, schon während der Planungsphase den Betriebsrat mit einzubeziehen, um mit ihm die konkrete Ausgestaltung des Systems zu diskutieren. So können böse Überraschungen im Nachhinein vermieden werden. Nach derzeitiger Rechtsprechung des BAG ist davon auszugehen, dass alle technischen Einrichtungen zur Zeiterfassung vom Mitbestimmungsrecht umfasst sind. Dies gilt selbst dann, wenn es sich dabei beispielsweise um einfache Listen in Word oder Excel handelt, in welchen die Arbeitszeiten von den Beschäftigten selbst manuell erfasst werden. Überdies erscheint es ratsam, eine entsprechende Betriebsvereinbarung zu schließen und den Datenschutzbeauftragten einzubinden.

Problem: Biometrische Daten

Datenschutzrechtlich problematisch ist die immer mehr an Beliebtheit gewinnende Zeiterfassung unter Verwendung eines Fingerabdrucks oder Iris-Scans. Denn diese biometrischen Daten sind besondere Kategorien personenbezogener Daten im Sinne von Art 9 Abs. 1 DSGVO und § 26 Abs. 3 BDSG, deren Verarbeitung grundsätzlich verboten ist und nur in Ausnahmefällen und unter besonderen Voraussetzungen zulässig ist.

Die Vorteile aus Arbeitgebersicht sind klar: Die jeweilige Mitarbeiterin kann absolut zuverlässig und fälschungssicher identifiziert werden. Ein Missbrauch, etwa durch „mitstempeln“ für Kollegen, ist ausgeschlossen. Ein weiterer Vorteil ist, dass kein Erfassungsmedium wie eine Chip- oder Magnetstreifenkarte erforderlich ist - den Finger und das Auge haben die Mitarbeiter schließlich ständig „dabei“. Dadurch reduzieren sich aus Arbeitgebersicht auch die Kosten für die Wiederbeschaffung von verloren gegangenen Erfassungsmedien für die elektronische Zeiterfassung.

Arbeitsgericht Berlin: Keine Erforderlichkeit

Das Arbeitsgericht Berlin hat nun mit Urteil vom 16.10.2019 (Az. 29 Ca 5451/19) entschieden, dass die Arbeitszeiterfassung durch ein Zeiterfassungssystem mittels Fingerprint nicht erforderlich im Sinne von § 26 Abs. 1 BDSG und damit ohne Einwilligung der betroffenen Person nicht zulässig sei. Hintergrund war eine Klage eines Arbeitnehmers gegen seinen Arbeitgeber auf Entfernung mehrerer Abmahnungen aus seiner Personalakte: Der Arbeitnehmer hatte sich geweigert, ein Zeiterfassungssystem mit Fingerabdruckerkennung zu nutzen und keine Einwilligung erteilt. Auch eine entsprechende Kollektivvereinbarung lag nicht vor. Sein Arbeitgeber hatte ihn wegen der Weigerung mehrmals abgemahnt.

Das Gericht prüfte mangels Einwilligung und Kollektivvereinbarung, ob die Verarbeitung der biometrischen Daten im Rahmen der Zwecke des Beschäftigungsverhältnisses im Sinne des § 26 Abs. 1 BDSG erforderlich gewesen war. Die dafür vorzunehmende Abwägung fiel deutlich zulasten des Arbeitgebers aus: Die Arbeitszeiterfassung mittels Fingerprint beeinträchtige die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich, so die Richter. Das Interesse des Arbeitgebers an einer Verhinderung von Missbrauch trete dahinter – jedenfalls ohne konkrete Hinweise auf Missbrauchsfälle in der Vergangenheit – zurück.

Und jetzt?

In dem konkreten Fall des Arbeitsgerichts Berlin hatte der Kläger und Arbeitnehmer seinem Arbeitgeber keine Einwilligung erteilt. Grundsätzlich wäre es denkbar, die Verarbeitung des Fingerabdrucks zur Zeiterfassung im Beschäftigungsverhältnis auf eine Einwilligung der Mitarbeiterinnen nach § 26 Abs. 3 BDSG zu stützen. Allerdings könnten hier schnell Zweifel an der Freiwilligkeit ihrer Erteilung im Rahmen eines Beschäftigungsverhältnisses und damit an der Wirksamkeit einer solchen Einwilligung entstehen. Auf die Prüfung der Freiwilligkeit müsste hier besonderes Augenmerk gelegt werden. Hinzu kommt, dass die Einwilligung grundsätzlich jederzeit frei widerrufbar ist – in der Konstellation der Arbeitszeiterfassung ein erhebliches Risiko für den Arbeitgeber.

Denkbar ist auch, die Verarbeitung biometrischer Daten im Rahmen der Zeiterfassung abweichend von Artikel 9 Abs. 1 DSGVO auf § 26 Abs. 3 BDSG zu stützen. Danach kann die Verarbeitung für Zwecke des Beschäftigungsverhältnisses zulässig sein, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Der Einsatz einer solchen Technologie mag in bestimmten Branchen, in denen die Sicherheit von Räumlichkeiten und Anlagen (z.B. Laboren oder Kernkraftwerken) eine übergeordnete Rolle spielt, zur Zugangskontrolle und möglicherweise auch zur Zeiterfassung eingesetzt werden dürfen. Dort wo keine derartigen Gefahren bestehen, wird eine Zweck-Mittel-Relation schnell zu dem Ergebnis kommen müssen, dass hier auch mildere Mittel (wie z.B. die Zeiterfassung mittels personalisierter elektronischer Karten) zur Verfügung stehen, die einen weniger gravierenden Eingriff in die schutzwürdigen Interessen der Beschäftigten bedeuten.

Notwendigkeit einer Datenschutz-Folgenabschätzung

Sollte man im Ausnahmefall trotzdem zur datenschutzrechtlichen Zulässigkeit der Verwendung eines biometrischen Zeiterfassungssystems kommen, ist die Durchführung einer Datenschutz-Folgenabschätzung („DSFA“) nach Art. 35 DSGVO für die geplante Verarbeitung in der Regel zwingend erforderlich. Die DSFA muss dabei in jedem Fall schon im Vorfeld der geplanten Verarbeitung durchgeführt werden und darf nicht erst stattfinden, nachdem mit der biometrischen Zeiterfassung bereits begonnen worden ist.

4. Februar 2020