Datenschutzrechtliche Anforderungen an die Arbeitszeiterfassung per Fingerprint
16. Februar 2020
Es gibt verschiedene Möglichkeiten, im Beschäftigungsverhältnis die Arbeitszeit zu erfassen. Dies kann beispielsweise die klassische Stechkarte sein, schriftliche Aufzeichnungen auf Papier, eine Excel-Tabelle, eine Zeiterfassungssoftware oder aber auch die elektronische Zeiterfassung per Chipkarte. Mit einer Neuerung auf diesem Gebiet, nämlich der Arbeitszeiterfassung per Fingerprint, musste sich das Arbeitsgericht Berlin (Urteil vom 16.10.2019, Az. 29 Ca 5451/19) befassen. Das Urteil zeigt, dass Arbeitgeber auch hierbei das Datenschutzrecht zu beachten haben.
Sachverhalt
In dem Urteil geht es um einen Arbeitnehmer, der u. a. zweimal von seinem Arbeitgeber abgemahnt wurde, weil er sich geweigert hatte, seine Arbeitszeit per Fingerprint zu erfassen.
Die Mitarbeiter des Arbeitgebers hatten ihre geleisteten Arbeitszeiten ursprünglich handschriftlich notiert.
Zum 1. August 2018 führte der Arbeitgeber dann die Zeiterfassung per Fingerprint ein. Zu diesem Zweck werden zunächst aus dem Fingerabdruck sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert und in einem Datensatz im Zeiterfassungsterminal gespeichert. Bei der An- und Abmeldung des Mitarbeiters wird dann der Minutiendatensatz zum Abgleich des Fingerabdrucks verwendet.
Die Entscheidung des Gerichtes
Das Arbeitsgericht Berlin hat den Arbeitgeber verurteilt, die Abmahnungen aus der Personalakte zu entfernen, da der klagende Arbeitnehmer nicht verpflichtet war, die Zeiterfassung per Fingerprint zu nutzen. Denn für diese Art der Zeiterfassung gab es keine Rechtsgrundlage.
Das Gericht stellt in seinem Urteil zunächst fest, dass es sich bei dem Minutiendatensatz um biometrische Daten nach Art. 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG handelt. Erlaubnistatbestände aus Art. 9 Abs. 2 DSGVO, die nach Ansicht des Gerichtes eine Verarbeitung rechtfertigen würden, insbesondere eine Einwilligung oder eine Kollektivvereinbarung, liegen nicht vor.
Das Arbeitsgericht Berlin führt die rechtliche Prüfung mit § 26 BDSG fort, der die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses regelt. § 26 Abs. 1 S. 1 BDSG stellt Voraussetzungen für die Verarbeitung personenbezogener Daten auf, während § 26 Abs. 3 S. 1 BDSG spezielle Vorgaben für die Verarbeitung besonderer Kategorien personenbezogener Daten enthält. Das Gericht trennt letztendlich nicht zwischen diesen beiden Absätzen, sondern führt unter Bezugnahme auf den Verhältnismäßigkeitsgrundsatz eine gemeinsame Prüfung durch, ob die Verarbeitung besonderer Kategorien personenbezogener Daten erforderlich ist. Dies wird vom Gericht verneint.
Zur Begründung führt das Arbeitsgericht Berlin aus, dass der Arbeitgeber weder vorgetragen habe, dass in der Vergangenheit bei der handschriftlichen Aufzeichnung der Arbeitszeiten erheblicher Missbrauch betrieben worden wäre, noch habe er darlegen können, dass im Fall der Einführung eines anderen Zeiterfassungssystems, bei dem keine biometrische Daten gespeichert werden, Missbrauch in erheblichem oder auch nur in nennenswertem Umfang zu befürchten wäre. Der Arbeitgeber habe auch nicht behauptet, dass der klagende Arbeitnehmer in der Vergangenheit durch falsche Arbeitszeitangaben aufgefallen wäre.
Das Gericht kommt somit zu dem Ergebnis, dass es für die Zeiterfassung per Fingerprint keine Rechtsgrundlage gab.
Stellungnahme und Empfehlungen für die Praxis
Dem Urteil ist zuzustimmen, auch wenn die Urteilsbegründung etwas unsystematisch ist.
Das Arbeitsgericht Berlin hat darauf hingewiesen, dass es zwei alternative Rechtsgrundlagen gibt, auf die die Verarbeitung besonderer Kategorien personenbezogener Daten gestützt werden kann, nämlich eine Einwilligung oder eine Kollektivvereinbarung. Da diese im entschiedenen Fall nicht vorlagen, sollen sie nachfolgend dargestellt werden.
Die Voraussetzungen für eine Einwilligung ergeben sich aus § 26 Abs. 3 S. 2 i. V. m. Abs. 2 BDSG. Die Einwilligung ist allerdings mit zwei Problemen verbunden.
Als erstes Problem stellt sich die Frage nach der Freiwilligkeit ihrer Abgabe. Um dies zu prüfen, enthält § 26 Abs. 2 BDSG mehrere Kriterien. Danach ist für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Laut dem Gesetzestext kann Freiwilligkeit insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.
Das zweite Problem liegt darin, dass die Einwilligung jederzeit vom Arbeitnehmer widerrufen werden kann.
Vor diesem Hintergrund ist einem Arbeitgeber davon abzuraten, eine Einwilligung für die Zeiterfassung per Fingerprint einzuholen. Denn das Risiko ist zu groß, dass die Einwilligung mangels Freiwilligkeit unwirksam ist. Darüber hinaus kann ein Arbeitnehmer jederzeit seine Meinung ändern und die Einwilligung widerrufen.
Nach § 26 Abs. 4 BDSG ist die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner laut dem Gesetzestext Art. 88 Abs. 2 DSGVO zu beachten. Nach dieser Vorschrift sind die menschliche Würde, die berechtigten Interessen und die Grundrechte der betroffenen Person zu wahren. Einen vergleichbaren Regelungsgehalt hat § 75 Abs. 2 S. 1 BetrVG. Danach haben Arbeitgeber und Betriebsrat die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer zu schützen und zu fördern. Zum Schutz des aus Art. 2 Abs. 1 GG i. V. m. Art. 1 Abs. 1 GG abgeleiteten allgemeinen Persönlichkeitsrechts des Arbeitnehmers bedeutet dies im Ergebnis eine Prüfung des Verhältnismäßigkeitsgrundsatzes und somit auch der Erforderlichkeit wie sie bereits weiter oben dargestellt wurde. Eine Betriebsvereinbarung, die die Zeiterfassung per Fingerprint erlaubt, wäre somit unwirksam gewesen. Dies zeigt, dass auch eine Kollektivvereinbarung nicht jede Verarbeitung besonderer Kategorien personenbezogener Daten rechtfertigen kann.
Fazit und Ausblick
Die Arbeitszeiterfassung per Fingerprint erscheint einfach, ist aber mit erheblichen rechtlichen Problemen verbunden. Deshalb ist von ihr abzuraten.
Mit der Arbeitszeiterfassung müssen sich in Zukunft voraussichtlich alle Arbeitgeber beschäftigen. Denn der Europäische Gerichtshof (Urteil vom 14.05.2019, Az. C-55/18) hat im vergangenen Jahr entschieden, dass die EU-Mitgliedstaaten Arbeitgeber verpflichten müssen, ein System zur Arbeitszeiterfassung einzuführen. Pressemeldungen zufolge plant der deutsche Gesetzgeber aktuell, das Urteil in nationales Recht umzusetzen. In Deutschland besteht bisher nur die Pflicht, Überstunden sowie Sonn- und Feiertagsarbeit zu dokumentieren. Daneben gibt es eine generelle Aufzeichnungspflicht der Arbeitszeiten nur in bestimmten Bereichen.
DSGVO und Bußgelder
3. Januar 2020
Die Datenschutzaufsichtsbehörden haben in den vergangenen Wochen zwei hohe Bußgelder verhängt, weil aus ihrer Sicht gegen die DSGVO verstoßen wurde: Ein Wohnungskonzern soll 14,5 Millionen Euro und ein Telekommunikationsdienstleister 9,55 Millionen Euro zahlen. Die Bußgelder sind ein guter Anlass, sich die Voraussetzungen für die Verhängung eines Bußgeldes wegen eines Verstoßes gegen die DSGVO mal etwas genauer anzuschauen.
Mehrere Optionen
Um zunächst das Vorliegen eines Verstoßes gegen die DSGVO zu prüfen und ggf. festzustellen, räumt Art. 58 Abs. 1 DSGVO den Aufsichtsbehörden verschiedene Untersuchungsbefugnisse ein. Dazu gehören z. B. die Anweisungsbefugnis zur Informationsbereitstellung oder das Recht, Datenschutzüberprüfungen durchzuführen.
Wenn eine Aufsichtsbehörde der Meinung ist, dass tatsächlich gegen die DSGVO verstoßen wurde, dann stehen ihr gemäß Art. 58 Abs. 2 DSGVO unterschiedliche Abhilfebefugnisse zur Verfügung. So hat sie z. B. das Recht, eine Verwarnung zu erteilen, die Verarbeitung personenbezogener Daten zu beschränken oder zu verbieten oder die Löschung personenbezogener Daten anzuordnen. Zu den Rechten der Aufsichtsbehörde gehört aber auch die Verhängung einer Geldbuße gemäß Art. 83 DSGVO und zwar, je nach den Umständen des Einzelfalls, zusätzlich zu oder anstelle von den übrigen Abhilfebefugnissen.
Die Voraussetzungen des Art. 83 DSGVO
Der Verweis auf Art. 83 DSGVO spannt den Bogen zu dem eigentlichen Thema dieses Beitrages, nämlich zu den Voraussetzungen für die Verhängung eines Bußgeldes.
Ein Blick in Art. 83 Abs. 4 bis 6 DSGVO zeigt, dass die meisten Verstöße gegen die DSGVO mit einer Geldbuße bedroht sind.
Art. 83 Abs. 4 DSGVO sanktioniert Verstöße gegen formelle administrative Pflichten. Darunter fallen gemäß Art. 83 Abs. 4 Buchstabe a DSGVO auch Verstöße gegen Art. 25 DSGVO (Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen) und Art. 32 DSGVO (Sicherheit der Verarbeitung). Der eingangs genannte Bußgeldbescheid gegen den Wohnungskonzern basiert u. a. auf einem angeblichen Verstoß gegen Art. 25 Abs. 1 DSGVO und die Grundlage für den Bußgeldbescheid gegen den Telekommunikationsdienstleister ist Art. 32 DSGVO. Der Bußgeldrahmen des Art. 83 Abs. 4 DSGVO beträgt bis zu 10 000 000 EUR oder im Fall eines Unternehmens bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist.
Art. 83 Abs. 5 DSGVO sanktioniert u. a. Verstöße gegen materielle Grundsätze der DSGVO, gegen Betroffenenrechte, gegen Bestimmungen über den Drittlandtransfer und Verstöße gegenüber den Aufsichtsbehörden. Der Wohnungskonzern soll auch gegen Art. 5 DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten) verstoßen haben, was unter Art. 83 Abs. 5 Buchstabe a DSGVO fällt. Praktische Relevanz hat insbesondere die Sanktionierung von Verstößen gegen die Betroffenenrechte. Wer also z. B. gegen die Informationspflicht gemäß Art. 13 DSGVO verstößt, geht das Risiko eines Bußgeldes gemäß Art. 83 Abs. 5 Buchstabe b DSGVO ein. Der Bußgeldrahmen des Art. 83 Abs. 5 DSGVO beträgt bis zu 20 000 000 EUR oder im Fall eines Unternehmens bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher der Beträge höher ist.
Der gleiche Bußgeldrahmen gilt auch für Art. 83 Abs. 6 DSGVO. Diese Regelung sanktioniert die Nichtbefolgung einer Anweisung einer Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO.
Die vorstehenden Ausführungen haben einen Überblick darüber gegeben, wegen welcher Verstöße gegen die DSGVO ein Bußgeld verhängt werden kann. Als Nächstes soll auf die ersten beiden Absätze des Art. 83 DSGVO eingegangen werden.
In Art. 83 Abs. 2 DSGVO wird zunächst etwas wiederholt, was schon in Art. 58 Abs. 2 DSGVO geregelt wird und zwar, dass Geldbußen je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von den übrigen Abhilfebefugnissen des Art. 58 Abs. 2 DSGVO verhängt werden. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag ist eine ganze Reihe von Kriterien gebührend zu berücksichtigen, die in Art. 83 Abs. 2 DSGVO aufgezählt werden. Wichtig ist in diesem Kontext Art. 83 Abs. 1 DSGVO. Danach stellt jede Aufsichtsbehörde sicher, dass die Verhängung von Geldbußen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist. Zu den Kriterien des Art. 83 Abs. 2 DSGVO gehören beispielsweise Art, Schwere und Dauer des Verstoßes, Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, etwaige einschlägige frühere Verstöße, der Umfang der Zusammenarbeit mit der Aufsichtsbehörde und jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.
Das Konzept der Datenschutzaufsichtsbehörden zur Bußgeldzumessung in Verfahren gegen Unternehmen
Die deutschen Datenschutzaufsichtsbehörden haben anhand der Vorgaben des Art. 83 DSGVO ein Konzept zur Bußgeldzumessung in Verfahren gegen Unternehmen entwickelt und veröffentlicht. Es findet keine Anwendung auf Geldbußen gegen Vereine oder natürliche Personen außerhalb ihrer wirtschaftlichen Tätigkeit und es ist auch weder für grenzüberschreitende Fälle noch für andere Datenschutzaufsichtsbehörden der EU bindend. Es entfaltet ferner keine Bindung hinsichtlich der Festlegung von Geldbußen durch Gerichte.
Die Grundlage für das Konzept ist der Umsatz des jeweiligen Unternehmens. Knapp zusammengefasst bedeutet das Konzept, dass auf Basis des Jahresumsatzes ein Tagessatz gebildet wird, der dann mit einem Faktor für den Schweregrad der Tat multipliziert wird. Der so errechnete Betrag wird dann anhand aller für und gegen den Betroffenen sprechenden Umstände angepasst, soweit diese noch nicht bei dem Schweregrad berücksichtigt wurden.
Der Umsatz als Grundlage für die Ermittlung der Bußgeldhöhe führt, wie die eingangs genannten Beträge in Höhe von 14,5 Millionen Euro und 9,55 Millionen Euro zeigen, zu sehr hohen Bußgeldern.
Auf einige Kritikpunkte an dem Konzept der Datenschutzaufsichtsbehörden und an Art. 83 DSGVO soll nachfolgend eingegangen werden.
Kritik
Art. 83 DSGVO muss sich am Bestimmtheitsgrundsatz, der auch für Bußgeldtatbestände gilt, messen lassen. Nach diesem Grundsatz müssen strafrechtliche Normen so konkret sein, dass Tragweite und Anwendungsbereich des Tatbestandes zu erkennen sind und sich durch Auslegung ermitteln lassen. Der Bestimmtheitsgrundsatz ist im deutschen Verfassungsrecht in Art. 103 Abs. 2 GG normiert und ergibt sich im Unionsrecht aus dem Gesetzlichkeitsprinzip, das auf Art. 7 Abs. 1 EMRK und Art. 49 Abs. 1 GRCh beruht. Es ist durchaus fraglich, ob der Bestimmtheitsgrundsatz immer eingehalten wird. Als Beispiel für die Problematik kann Art. 83 Abs. 5 Buchstabe a DSGVO i. V. m Art. 5 DSGVO dienen. Die in Art. 5 DSGVO normierten Grundsätze für die Verarbeitung personenbezogener Daten sind zumindest teilweise sehr weit gefasst und es zumindest teilweise unklar, was vom europäischen Gesetzgeber konkret gefordert wird.
Nach dieser grundsätzlichen Problematik sollen beispielhaft noch zwei wichtige Probleme bei der Auslegung des Art. 83 DSGVO kurz dargelegt werden.
So ist es streitig, ob die Aufsichtsbehörden ein in seinen Einzelheiten ebenfalls streitiges Ermessen haben, ob sie eine Geldbuße verhängen oder nicht oder ob die Verhängung einer Geldbuße verpflichtend ist. Die letztere Ansicht lässt als Ausnahme von der Pflicht nur Satz 2 des Erwägungsgrundes 148 der DSGVO zu. Danach kann im Falle eines geringfügigeren Verstoßes oder falls die voraussichtlich zu verhängende Geldbuße eine unverhältnismäßige Belastung für eine natürliche Person bewirken würde, anstelle einer Geldbuße eine Verwarnung erteilt werden.
Zu dem Kriterienkatalog des Art. 83 Abs. 2 DSGVO gehört auch die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes. Es ist streitig, ob Vorsätzlichkeit oder Fahrlässigkeit stets vorliegen müssen oder ob die Verhängung einer Geldbuße auch möglich ist, wenn weder vorsätzlich noch fahrlässig gehandelt wurde.
Beim Konzept der Datenschutzaufsichtsbehörden zur Bußgeldzumessung in Verfahren gegen Unternehmen dient der Umsatz als Grundlage für die Ermittlung der Bußgeldhöhe. Dies ist kritikwürdig. Denn der Umsatz des Unternehmens wird in dem Kriterienkatalog des Art. 83 Abs. 2 DSGVO nicht genannt. Es wird also ein Kriterium verwendet, das der Gesetzeswortlaut nicht vorsieht. Es ist daher zweifelhaft, bei der Ermittlung der Bußgeldhöhe stets primär auf den Umsatz des Unternehmens abzustellen. Der Umsatz als Anknüpfungspunkt führt außerdem zu sehr hohen Bußgeldern. Beträge in Höhe von 14,5 Millionen Euro und 9,55 Millionen Euro lassen es fraglich erscheinen, ob sie wirklich verhältnismäßig i. S. v. Art. 83 Abs. 1 DSGVO sind. Zudem ist zu beachten, dass das Vorbild für die Systematik des Art. 83 DSGVO zwar das Kartellrecht ist. Dort ist der Umsatz allerdings nur für den Bußgeldrahmen entscheidend. Einzelne Bußgelder werden dagegen auf der Grundlage des Umsatzes verhängt, der mit Waren oder Dienstleistungen erzielt wird, deren Absatz durch den Kartellrechtsverstoß gefördert wird. Eine vergleichbare Differenzierung fehlt jedoch im Konzept der Datenschutzaufsichtsbehörden, da immer auf den Umsatz als solchen abgestellt wird.
Fazit
Der Wohnungskonzern und der Telekommunikationsdienstleister haben gegen die Bußgeldbescheide Einspruch eingelegt. Damit dürften am Ende die Gerichte über die beiden Sachen entscheiden. Und damit werden hoffentlich zumindest einige der vielen Rechtsfragen zur DSGVO geklärt.
Die beiden hohen Geldbußen zeigen auch, dass man sich auf jeden Fall durch einen Rechtsanwalt beraten lassen sollte, wenn man von einer Datenschutzaufsichtsbehörde mit dem Vorwurf konfrontiert wird, gegen die DSGVO verstoßen zu haben.