Skip to main content

Fingerabdruck-Zeiterfassung – Warum das Büro kein Tatort ist

Warum Fingerabdrücke zur Zeiterfassung rechtlich problematisch sind und wie Unternehmen teure Fehler vermeiden können

Eigentlich ganz einfach: Sie kommen morgens ins Büro, drücken Ihren Daumen auf einen Scanner – piep - und schon wird Ihre Arbeitszeit erfasst. Praktisch? Auf den ersten Blick ja. Rechtlich sicher? Absolut nicht!

Ein belgisches Unternehmen lernte das am 6. September 2024 schmerzlich, als die belgische Datenschutzbehörde APD ein Bußgeld von 45.000€ verhängte. Der Grund? Die Nutzung von Fingerabdrücken zur Arbeitszeiterfassung ohne ausreichende rechtliche Grundlage. Für Unternehmensinhaber ist dieser Fall besonders relevant, denn biometrische Zeiterfassungssysteme werden immer beliebter - aber wie nicht nur dieser Fall zeigt, lauern hier erhebliche rechtliche Risiken.

Der Fall: Als der Fingerabdruck zum Ärgernis wurde

Anfang 2022 reichte ein Mitarbeiter des Unternehmens mit 200 Beschäftigten Beschwerde bei der belgischen Datenschutzbehörde ein. Das Unternehmen hatte von allen Mitarbeitern - Festangestellten, befristet Beschäftigten und sogar Leiharbeitern - Fingerabdrücke zur Arbeitszeiterfassung verlangt. Genutzt wurde ein System eines internationalen Drittanbieters, einer Tochtergesellschaft eines japanischen Konzerns mit Niederlassungen in den USA und China.

Der Knackpunkt: Die Mitarbeiter erhielten lediglich eine "Willkommensbroschüre", die sie als "empfangen" unterzeichnen mussten. Diese Unterschrift dokumentierte jedoch nur den Empfang der Broschüre - nicht etwa eine Einwilligung in die Verarbeitung biometrischer Daten. Der Beschwerdeführer argumentierte, dass er seine Fingerabdrücke nicht freiwillig abgegeben habe und über wesentliche Aspekte wie Speicherdauer und Datenflüsse nicht informiert worden sei.

Was folgte, war ein klassischer Dominoeffekt: Die Behörde stellte fest, dass nicht nur die Einwilligung fehlte, sondern auch eine Datenschutzfolgenabschätzung. Zudem wurden die Daten für ungenannte Zwecke wie "Betrugsbekämpfung" verwendet, und die Dokumentation wies erhebliche Lücken auf.

Die rechtliche Bewertung: Biometrische Daten sind besonders geschützt

Die belgische Datenschutzbehörde stellte unmissverständlich fest: Fingerabdrücke sind biometrische Daten im Sinne des Art. 9 DSGVO, da sie zur eindeutigen Identifizierung der Mitarbeiter bei der Lohnabrechnung genutzt wurden. Für solche besonderen Kategorien personenbezogener Daten gelten strenge Regeln.

Gestützt auf eine Entscheidung des Europäischen Gerichtshofs (EuGH) in der Rechtssache Meta Platforms betonte die Behörde, dass für die Verarbeitung biometrischer Daten kumulativ zwei Rechtsgrundlagen erforderlich sind: eine nach Art. 6 DSGVO (allgemeine Erlaubnistatbestände) und eine nach Art. 9 DSGVO (besondere Kategorien personenbezogener Daten). In einfachen Worten: Die Hürde ist doppelt so hoch wie bei "normalen" personenbezogenen Daten.

Da keine anderen Rechtsgrundlagen einschlägig waren, kam nur eine ausdrückliche Einwilligung in Betracht - die aber nicht vorlag. Die Unterschrift unter der Willkommensbroschüre, die zahlreiche andere Informationen enthielt, reichte dafür bei weitem nicht aus.

Die Freiwilligkeits-Falle im Arbeitsverhältnis

Obwohl für die Entscheidung nicht mehr ausschlaggebend, wies die Datenschutzbehörde auf einen weiteren kritischen Punkt hin: Selbst wenn das Unternehmen eine separate Einwilligungserklärung verwendet hätte, wäre deren Freiwilligkeit höchst fragwürdig gewesen.

Im Arbeitskontext besteht ein Machtungleichgewicht zwischen Arbeitgeber und Arbeitnehmer. Die Mitarbeiter hätten nachteilige Folgen befürchten müssen, da keine alternative Zeiterfassung vorgesehen war. In der Broschüre wurde sogar explizit darauf hingewiesen: "Kein Lohn ohne entsprechende Befolgung der Zeiterfassung." Eine echte Wahlfreiheit sieht anders aus.

Die Argumente des Unternehmens, dass sich bislang kein Mitarbeiter beschwert hatte und das vorherige Ausweissystem von den Mitarbeitern als lästig empfunden wurde, wischte die Behörde als irrelevant beiseite. Die Botschaft ist klar: Praktikabilität und stillschweigende Duldung ersetzen keine rechtskonforme Einwilligung.

Zweckbindung: Keine heimlichen Zusatznutzungen

Ein weiterer Verstoß betraf den Grundsatz der Zweckbindung. Das Unternehmen hatte die Fingerabdrücke für drei verschiedene Zwecke genutzt: Zeiterfassung, Betrugsbekämpfung und Sicherheitsgründe (darunter die Zugangskontrolle zum Gebäude).

Problematisch daran: Über den Zweck der Betrugsbekämpfung wurden die Mitarbeiter gar nicht informiert - ein klarer Verstoß gegen die Informationspflichten. Zudem betonte die Behörde, dass eine Zugangskontrolle auf Basis biometrischer Daten nur in Ausnahmefällen zulässig sei, die hier nicht vorlagen. Für eine gewöhnliche Büroumgebung ist ein Fingerabdruck-Scanner an der Eingangstür schlicht unverhältnismäßig.

Der Dienstleister: Nicht immer mitverantwortlich

Interessanterweise konnte die Datenschutzbehörde keinen Verstoß aufseiten des Drittdienstleisters feststellen. Dieser agierte auf Basis eines ordnungsgemäßen Auftragsverarbeitungsvertrags. Die bereitgestellten Daten wurden verschlüsselt, und die Server befanden sich ausschließlich auf belgischem Gebiet - ein wichtiger Punkt, der eine unzulässige Datenübermittlung ins Ausland ausschloss.

Die Behörde traf hier eine wichtige Unterscheidung: Biometrische Daten stellen nicht automatisch eine besondere Kategorie personenbezogener Daten dar, sondern nur, wenn sie zum Zweck der eindeutigen Identifizierung verarbeitet werden. Dies war beim Arbeitgeber der Fall, nicht aber beim Dienstleister, der die Daten lediglich speicherte, ohne sie zur Identifizierung zu nutzen.

Diese Differenzierung zeigt: Die rechtliche Bewertung hängt stark vom konkreten Verarbeitungszweck ab.

Praxis-Tipps: So bleiben Sie auf der sicheren Seite

Was können Unternehmensinhaber aus diesem Fall lernen? Hier sind konkrete Handlungsempfehlungen:

Biometrie nur als Notbremse einsetzen: Fingerabdrücke, Gesichtserkennung und andere biometrische Verfahren sollten nur dann zur Zeiterfassung genutzt werden, wenn es wirklich keine Alternativen gibt. Für Hochsicherheitsbereiche mag das gelten (in Zusammenhang mit Zutrittskontrolle) - für die durchschnittliche Büroumgebung, Einzelhandelsgeschäfte oder Handwerksbetriebe sicher nicht. Alternative Zeiterfassungssysteme mit Chipkarten, PINs oder Smartphone-Apps sind nicht nur rechtlich unbedenklicher, sondern oft auch kostengünstiger in der Anschaffung und Wartung.

Einwilligung richtig gestalten: Falls man in einem Ausnahmefall doch auf biometrische Daten angewiesen ist, ist der Einwilligungsprozess wasserdicht zu gestalten. Die Einwilligung muss in einem separaten Dokument erfolgen, klar von anderen Erklärungen getrennt sein und ausdrücklich auf die Freiwilligkeit hinweisen. Formulierungen müssen einfach und verständlich sein: "Sie können die Nutzung Ihrer Fingerabdrücke ablehnen, ohne dass Ihnen dadurch Nachteile entstehen. Alternative Methoden sind: [Alternativen nennen]."

Dokumentation ist Trumpf: Vor der Einführung biometrischer Systeme muss unbedingt eine Datenschutzfolgenabschätzung durchgeführt werden, in der u.a. dokumentiert wird, warum weniger invasive Alternativen nicht in Betracht kommen. Alle Verarbeitungszwecke werden schriftlich festgehalten und die Betroffenen umfassend informiert. Ein vollständiges Verzeichnis der Verarbeitungstätigkeiten ist nicht nur gesetzlich vorgeschrieben, sondern auch das Schutzschild schlechthin bei behördlichen Prüfungen.

Dienstleister sorgfältig prüfen: Bei der Zusammenarbeit mit externen Anbietern ist auf deren Datenschutzstandards zu achten. Wo werden die Server betrieben? Wie werden die Daten geschützt? Ein ordnungsgemäßer Auftragsverarbeitungsvertrag ist Pflicht, ebenso wie technische Schutzmaßnahmen wie Verschlüsselung. Am Ende haften Sie als Verantwortlicher.

Regelmäßige Überprüfung etablieren: Datenschutz ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Es ist jährlich zu prüfen, ob die Dokumentation noch aktuell ist und ob die Mitarbeiter wissen, wo und wie ihre Daten verarbeitet werden.

Fazit: Datenschutz ist kein Bürokratie-Monster

"Aber die Mitarbeiter fanden das alte Chipkarten-System doch nervig!" - argumentierte das belgische Unternehmen. Die Antwort der Datenschutzbehörde war unmissverständlich: "Unrelevant!"

Die Botschaft ist klar: Selbst wenn etwas praktisch erscheint und von den Mitarbeitern akzeptiert wird - die Datenschutz-Grundverordnung ist kein Wunschkonzert. Biometrie bleibt ein heikles Thema, gerade weil Fingerabdrücke unveränderlich sind. Anders als ein Passwort kann ein Fingerabdruck nicht geändert werden, wenn er einmal kompromittiert wurde. Ein Datenleck hätte daher lebenslange Folgen.

Besonders bemerkenswert an diesem Fall: Es reichte ein einziger Beschwerdeführer, um eine umfassende Untersuchung auszulösen, die schließlich in einem empfindlichen Bußgeld mündete. Das zeigt: Datenschutzverstöße können lange unentdeckt bleiben - aber wenn sie ans Licht kommen, wird es teuer.

Am Ende haftet das Unternehmen als Verantwortlicher! Wenn Sie jetzt denken "Puh, das ist mir zu heiß" - gute Nachricht! Ein einfaches Zeiterfassungstool ohne Biometrie spart nicht nur rechtlichen Stress, sondern auch 45.000€ fürs Krisen-PR-Team und schlaflose Nächte.

Ralf
...schreibt immer wieder zu Themen, die ihm in der Beratung begegnen und die schreibenswert sind.
Veröffentlicht
01. Oktober 2024
Kategorie
Datenschutz
Tags

Weitere Beiträge

Kümmern Sie sich um Ihre wertvolle Arbeit
Das mit dem Datenschutz erledigen wir. Eine kurze E-Mail oder ein Anruf 0 62 45 - 9 94 55 72 genügt.
E-Mail schreiben