Die biometrische Zeiterfassung und ihre Zulässigkeit nach der Datenschutz-Grundverordnung (DSGVO) ist ein Thema von erheblicher Bedeutung für Unternehmen und Organisationen, die solche Systeme einsetzen möchten.
Die biometrische Zeiterfassung basiert auf der Verwendung biometrischer Merkmale wie Fingerabdrücken, Handflächenabdrücken, Iris- oder Gesichtsmerkmalen, um die Anwesenheit und Arbeitszeiten von Mitarbeitern zu erfassen. Durch den Einsatz dieser Technologie können Unternehmen effizientere Zeiterfassungssysteme implementieren und potenzielle Probleme wie Zeiterfassungsbetrug minimieren. Allerdings erhebt die Verwendung biometrischer Daten für die Zeiterfassung auch Fragen hinsichtlich des Datenschutzes, der Privatsphäre und der Einhaltung der DSGVO.
Die DSGVO legt fest, dass personenbezogene Daten nur rechtmäßig, transparent und zweckgebunden verarbeitet werden dürfen. Die Verarbeitung von biometrischen Daten gilt als besonders sensibel, da sie einzigartige und unveränderliche Informationen über eine Person enthält. Daher gelten für die biometrische Zeiterfassung besondere Anforderungen im Hinblick auf die Rechtmäßigkeit, den Zweck, die Datensparsamkeit, die Speicherbegrenzung und die Sicherheit der Verarbeitung.
Nach Artikel 9 Absatz 1 der DSGVO ist die Verarbeitung biometrischer Daten grundsätzlich verboten, es sei denn, es liegen spezifische Ausnahmen vor. Eine der Ausnahmen besteht in der ausdrücklichen Einwilligung der betroffenen Person. Dies bedeutet, dass eine Person, deren biometrische Daten für die Zeiterfassung verwendet werden sollen, ihre Einwilligung in die Verarbeitung dieser Daten geben muss. Die Einwilligung muss freiwillig, informiert und eindeutig sein. Sie muss auch jederzeit widerrufen werden können.
Die DSGVO stellt hohe Anforderungen an die Einwilligung, um sicherzustellen, dass sie gültig und rechtsgültig ist. Die Einwilligung muss auf einer klaren und verständlichen Sprache basieren und die betroffene Person muss über den Zweck und die Konsequenzen der Verarbeitung informiert werden. Darüber hinaus muss die Einwilligung frei von Zwang oder Druck sein, und die betroffene Person muss die Möglichkeit haben, ihre Einwilligung ohne Nachteile oder Diskriminierung zu verweigern.
Ein weiterer wichtiger Aspekt ist die Sicherheit der biometrischen Daten. Artikel 32 der DSGVO schreibt vor, dass der Verantwortliche angemessene technische und organisatorische Maßnahmen ergreifen muss, um ein angemessenes Sicherheitsniveau zu gewährleisten. Bei der biometrischen Zeiterfassung müssen geeignete Maßnahmen zum Schutz der biometrischen Daten ergriffen werden, da sie besonders sensibel sind und das Risiko eines Missbrauchs oder einer unbefugten Verwendung besteht. Dazu gehören beispielsweise die Implementierung von Zugriffskontrollen, die Verschlüsselung der Daten und die regelmäßige Überprüfung der Sicherheitsmaßnahmen.
In Bezug auf die Zulässigkeit der biometrischen Zeiterfassung nach der DSGVO gibt es jedoch keine eindeutige Antwort, da dies von den spezifischen Umständen und der Erfüllung der Anforderungen der DSGVO abhängt. Die DSGVO bietet einen rechtlichen Rahmen, der flexibel genug ist, um verschiedene Szenarien und Technologien abzudecken. Es ist wichtig, dass Unternehmen eine sorgfältige Prüfung der Rechtmäßigkeit der biometrischen Zeiterfassung vornehmen und sicherstellen, dass sie die Bestimmungen der DSGVO erfüllen.
Neben den allgemeinen Grundsätzen und Anforderungen der DSGVO haben einige Gerichtsurteile zu spezifischen Fragen im Zusammenhang mit der biometrischen Zeiterfassung Stellung genommen. Diese Urteile geben wichtige Hinweise auf die Auslegung der DSGVO durch die Gerichte und können als Leitlinien für Unternehmen dienen. Es ist jedoch zu beachten, dass Gerichtsentscheidungen von Fall zu Fall unterschiedlich ausfallen können und von den spezifischen Umständen und der Auslegung der Gesetze abhängen.
Ein wichtiges Urteil ist das Urteil des Europäischen Gerichtshofs (EuGH) vom 20. Dezember 2017 (Rechtssache C-434/16), das bereits erwähnt wurde. In diesem Fall ging es um den Einsatz von Fingerabdruckscannern zur Zeiterfassung. Der EuGH entschied, dass die systematische Erfassung biometrischer Daten zur Überwachung der Arbeitszeiten eine Verletzung der Grundrechte darstellen kann, insbesondere des Rechts auf Achtung des Privatlebens. Das Gericht stellte fest, dass die Verarbeitung biometrischer Daten einen besonderen Schutz erfordert und dass die Einwilligung der betroffenen Personen erforderlich ist.
Weitere Gerichtsurteile, die sich mit der biometrischen Zeiterfassung befassen, sind unter anderem das Urteil des Oberverwaltungsgerichts Nordrhein-Westfalen in Deutschland vom 5. September 2018 und das Urteil des Arbeitsgerichts Düsseldorf in Deutschland vom 6. November 2018. Diese Urteile bestätigen, dass der Einsatz von Fingerabdruckscannern zur Zeiterfassung ohne wirksame Einwilligung der betroffenen Personen unzulässig ist und gegen die DSGVO verstößt.
Es ist wichtig zu beachten, dass die biometrische Zeiterfassung nicht grundsätzlich verboten ist, aber dass Unternehmen sicherstellen müssen, dass sie die Anforderungen der DSGVO erfüllen. Dies umfasst die Einholung einer wirksamen Einwilligung der betroffenen Personen, die Implementierung angemessener Sicherheitsmaßnahmen zum Schutz der biometrischen Daten und die Berücksichtigung der Prinzipien der Rechtmäßigkeit, Zweckbindung, Datensparsamkeit und Speicherbegrenzung.
Um die biometrische Zeiterfassung nach der DSGVO zulässig zu machen, sollten Unternehmen die folgenden Schritte beachten:
- Rechtmäßigkeit: Unternehmen müssen eine Rechtsgrundlage haben, um biometrische Daten zu verarbeiten. Eine mögliche Rechtsgrundlage ist die freiwillige Einwilligung der betroffenen Personen. Die Einwilligung muss freiwillig, informiert und eindeutig sein.
- Zweckbindung: Die Verarbeitung der biometrischen Daten sollte auf den spezifischen Zweck der Zeiterfassung beschränkt sein. Die Daten dürfen nicht für andere Zwecke verwendet werden, es sei denn, es liegt eine separate Einwilligung vor oder es besteht eine andere Rechtsgrundlage.
- Datensparsamkeit: Es sollten nur diejenigen biometrischen Daten erfasst und gespeichert werden, die für den Zweck der Zeiterfassung erforderlich sind. Es sollten keine übermäßigen oder unnötigen Daten erhoben werden.
- Speicherbegrenzung: Die biometrischen Daten sollten nur für den Zeitraum gespeichert werden, der für den Zweck der Zeiterfassung erforderlich ist. Nach Ablauf dieses Zeitraums sollten die Daten gelöscht oder anonymisiert werden.
- Sicherheit: Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um die Sicherheit der biometrischen Daten zu gewährleisten. Dazu gehören unter anderem der Schutz vor unbefugtem Zugriff, die Verschlüsselung der Daten und die regelmäßige Überprüfung der Sicherheitsmaßnahmen.
Zusammenfassend lässt sich sagen, dass die biometrische Zeiterfassung unter der DSGVO zulässig sein kann, wenn bestimmte Bedingungen erfüllt sind. Unternehmen sollten sicherstellen, dass sie eine gültige Rechtsgrundlage haben, die Einwilligung der betroffenen Personen einholen, die Prinzipien der DSGVO beachten und angemessene Sicherheitsmaßnahmen umsetzen. Es ist ratsam, sich bei rechtlichen Fragen an einen Datenschutzexperten zu wenden, um sicherzustellen, dass alle Anforderungen erfüllt sind und potenzielle Risiken minimiert werden.