Arbeitgeber haben es nicht leicht: Wenn sie die Arbeitszeit ihrer Beschäftigten überwachen wollen, bewegen sie sich auf gefährlichem Terrain – zumindest, wenn sie dafür Fingerabdrücke verlangen. Wie ein aktuelles Urteil des Landesarbeitsgerichts Berlin-Brandenburg zeigt, hat der Datenschutz stets ein Wörtchen mitzureden.
Der Inhalt im Überblick
Ein findiger Radiologe…
Im Urteil des LAG Berlin-Brandenburg vom 04.06.2020, Az. 10 Sa 2130/19 wird zunächst ausführlich auf den Hintergrund der Klage eingegangen. Der Verständlichkeit halber wollen auch wir uns dem Vorgefallenen widmen.
Die Parteien stritten über die Wirksamkeit dreier Abmahnungen, die der Berufungsbeklagte bzw. Kläger der Vorinstanz von seiner Arbeitgeberin, der Berufungsklägerin bzw. Beklagten der Vorinstanz erhalten hat. Zwei dieser Abmahnungen stehen im Zusammenhang mit einer biometrischen Zeiterfassung, die vorliegend einer näheren Betrachtung unterzogen werden soll. Die dritte Abmahnung ist datenschutzrechtlich irrelevant und wird deswegen hier nicht erörtert.
Die Ausgangsituation
Die Berufungsklägerin betreibt eine Radiologie und handhabte die Zeiterfassung bisher stets altmodisch: Alle Mitarbeiter mussten ihre geleisteten Arbeitszeiten per Hand in einem ausgedruckten und ausliegenden Dienstplan eintragen. Doch mit dem Papierkram sollte endlich Schluss sein. Am 27. Juli 2018 informierte die Arbeitgeberin ihre Mitarbeiter unter Beifügung von Datenblatt und Konformitätserklärung darüber, dass ab dem 01.08.2018 ein neues Zeiterfassungssystem in Betrieb genommen werde.
Und so kam es: Das System mit dem imposanten Namen „ZEUS“ wurde mitsamt dem Terminal „IT 8200 FP“ eingeführt. Götter sind nun einmal eigen, deswegen verwundert es nicht, dass ZEUS nicht per Zeiterfassungschip, sondern mittels Fingerabdrucks funktioniert. Im Produktblatt heißt es:
„Das von … eingesetzte Verfahren zur Identifikation oder Verifikation mittels Fingerabdruck speichert ausschließlich die Minutien (Koordination der Schnittpunkte) eines Fingerabdrucks. Ein Auslesen der Daten aufgrund entsprechender Schutzmaßnahmen ist nicht möglich. Innerhalb des IT 8200 FP befindet sich nur eine Record-Nummer und die dazugehörigen Minutien. Ein Bezug zu einer natürlichen Person kann nicht hergestellt werden.“
Ganz schön Hightech! Zumindest ein Mitarbeiter fand dies nicht so lustig.
Lachen bis der Arzt kommt? Von wegen!
Der Berufungsbeklagte, ein medizinisch-technischer Radiologieassistent, weigerte sich, das neue Zeiterfassungssystem zu nutzen und trug seine Arbeitszeiten stattdessen weiterhin händisch ein. Am 05. Oktober 2018 erhielt er Abmahnung Nr. 1, nachdem man ihn zuvor schriftlich zur Verwendung des ZEUS-Systems angewiesen hatte. In der Abmahnung wurde er aufgefordert, seinen Dienstpflichten nachzukommen und ZEUS mit dem dazugehörigen Fingerabdruck-Scanner zu benutzen.
Der Berufungsbeklagte blieb standhaft: Am 26. März 2019 wurde er erneut abgemahnt, diesmal mit Verweis darauf, dass eine sofortige Kündigung bei fortgesetztem Verstoß möglich sei.
Daraufhin klagte der Arbeitnehmer auf Entfernung der Abmahnungen aus seiner Personalakte gemäß §§ 242, 1004 BGB analog.
… und zwei noch gewieftere Gerichte
Die Argumentation der Arbeitgeberin, die Zeiterfassung mittels Fingerlinienverzweigungen sei datenschutzrechtlich erlaubt und im Übrigen aufgrund der Manipulationssicherheit erforderlich, ließen weder das LAG Berlin-Brandenburg, noch das Arbeitsgericht Berlin in der Vorinstanz gelten.
Das ArbG Berlin entschied mit Anerkenntnisurteil und Schlussurteil vom 16.10.2019, Az. 29 Ca 5451/19, dass die Arbeitgeberin die Abmahnungen entfernen müsse. Der Kläger sei nicht verpflichtet, ZEUS mit seinen biometrischen Daten zu verwenden, weshalb er auch keine Pflichtverletzung begangen habe. Ohne Pflichtverletzung keine Abmahnung, ganz einfach.
Das LAG Berlin-Brandenburg wies die Berufung der Arbeitgeberin zurück: Ein biometrisches Zeiterfassungssystem sei in aller Regel nicht erforderlich im Sinne von Art. 9 Abs. 2 lit. b DSGVO, § 26 Abs. 3 BDSG.
Mit welcher Begründung?
Interessant ist nun, wie die beiden Gerichte ihre Entscheidung begründen. Kurz gesagt: Die Argumente der Arbeitgeberin stießen zu Recht auf taube Ohren.
In der Vorinstanz
Das Arbeitsgericht Berlin stellte zunächst fest, dass es sich auch bei Minutien um biometrische Daten handele. Damit befinden wir uns im Bereich der besonderen Kategorien personenbezogener Daten, deren Verarbeitung grundsätzlich verboten ist, Art. 9 Abs. 1 DSGVO. Eine Verarbeitung ist nur dann möglich, wenn ein in Art. 9 Abs. 2 DSGVO genannter Erlaubnistatbestand erfüllt ist.
Für eine Zeiterfassung mittels Verarbeitung biometrischer Daten käme laut dem ArbG Berlin lediglich Art. 9 Abs. 2 lit. a (Einwilligung) oder lit. b DSGVO (Erforderlichkeit, ggf. in Verbindung mit einer Kollektivvereinbarung) in Betracht.
Eine Einwilligung liegt nicht vor, sodass sich das Gericht nicht weiter dazu geäußert hat. Deren Freiwilligkeit wäre aber wohl zu bezweifeln.
Nun komme es laut dem ArbG Berlin darauf an, ob die Verarbeitung der biometrischen Daten gemäß Art. 9 Abs. 2 lit. b DSGVO
„erforderlich [ist], damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann …“
Das ArbG Berlin nimmt eine dreistufige Prüfung vor:
- Geeignetheit des biometrischen Verfahrens für die Zwecke des Beschäftigungsverhältnisses
- Mildere Mittel
- Umfassende Interessensabwägung
Dabei schlussfolgert das Gericht, das Interesse der Arbeitgeberin an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimnissen werde eher überwiegen als bei Zugangskontrollen zu normalen Bürobereichen. Im Rahmen der Arbeitszeiterfassung könnten biometrische Daten daher nicht verwendet werden.
Das Argument der Arbeitgeberin, ZEUS mit Fingerabdruck diene der Manipulationssicherheit, ist schnell von der Hand zu weisen: Vereinzelt sei zwar ein Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder Mitstempeln durch Kollegen denkbar, in der Regel müsse jedoch davon ausgegangen werden, dass sich die weit überwiegende Mehrheit der Beschäftigten rechtstreu verhalte. Es bestehe damit kein Anlass, biometrische Daten zu verarbeiten. Anders zu beurteilen wäre dies, wenn Missbräuche in nicht unerheblichem Umfang nachgewiesen werden könnten – das sei hier allerdings nicht der Fall.
Was die Berufungsklägerin dazu sagt
Die Arbeitgeberin ließ das nicht auf sich beruhen: In einem verbundenen anderen Unternehmen sei es zu Missbräuchen mit anderen technischen Zeiterfassungssystemen gekommen. Die Erfahrung ihrer Muttergesellschaft zeige, dass Protokollierungen der Arbeitszeiten mit geringem Aufwand manipulierbar seien. Mitarbeiter hätten mehrfach ihre Chipkarten oder Personalnummern an Kollegen gegeben, damit diese die Zeiterfassung mit falschen Anwesenheitszeiten speisen. Des Weiteren sei nicht immer ein Praxismanager vor Ort, der die Kontrolle ausüben könnte.
Auch sei Zeiterfassung mittels Fingerabdruck auf Dauer billiger als die Pflege eines Chipkartensystems. Wenn eine Chipkarte verloren würde, könnte die Arbeitszeit zudem nicht fehlerfrei erfasst werden.
Die Berufungsklägerin betont, die Verarbeitung biometrischer Daten bei der Zeiterfassung schütze die bei ihr verwahrten Gesundheitsdaten, weil festgestellt werden könne, wer sich in den Praxisräumen wann aufgehalten habe. Zusätzlich könnten Infektionsketten aufgeklärt werden (Anmerkung: vor Corona wohl ein visionärer Gedanke).
Mildere Mittel gebe es nicht. Im Rahmen der Abwägung sei zu beachten, dass die Berufungsklägerin besondere Sicherheitsmaßnahmen ergriffen habe: Es würden lediglich die Minutien des Fingerabdrucks gespeichert, außerdem erfolge am Terminal eine Pseudonymisierung.
Entscheidungsgründe des Berufungsurteils
Nach dem LAG Berlin-Brandenburg sei im Ergebnis und in der Begründung keine andere Beurteilung als in erster Instanz gerechtfertigt.
Auch wenn der Fingerabdruck nicht als Ganzes verarbeitet werde, handele es sich bei Fingerlinienverzweigungen um biometrische Daten im Sinne des Art. 4 Nr. 14 DSGVO.
Die Verarbeitung dieser Daten könne nicht auf Art. 9 Abs. 2 lit. b DSGVO gestützt werden, weil es an der Erforderlichkeit fehle. Auf die Frage, ob technische und organisatorische Maßnahmen, wie z.B. Pseudonymisierung, ergriffen werden, komme es erst an, wenn die Erforderlichkeit bejaht und festgestellt wurde, dass schutzwürdige Interessen der Betroffenen nicht entgegenstehen.
Die Verarbeitung biometrischer Daten sei nicht erforderlich, weil unter anderem
- ZEUS mittels eines anderen Terminals auch ohne diese Daten ohne sonstige Einschränkung verwendet werden könne (darauf hat die Arbeitgeberin freundlicherweise selbst hingewiesen),
- seitens der Berufungsklägerin nicht vorgetragen wurde, worin die Kostenersparnis bei Fingerabdruck-Systemen bestehe,
- die Berufungsklägerin in ihrer Informations-E-Mail an die Beschäftigten vom 27. Juli 2018 selbst angab, die Arbeitszeiten könnten aufgeschrieben werden, wenn die Zeiterfassung mal nicht funktionieren solle, sodass eine Fehlerfreiheit wohl auch nicht bei ZEUS vorliege,
- das Risiko eines Chipkarten-Verlustes minimiert werden könne,
- auch ohne Praxismanager Fehlzeiten wegen anwesender Kollegen nicht unentdeckt blieben,
- Zeiterfassungssysteme nicht dazu gedacht sind, den Zugang zu Gesundheitsdaten zu erschweren,
- und weil keine feststehende Gefährdung angegeben wurde, die die Aufklärung einer Infektionskette erfordere.
Ein Arbeitgeber habe missbräuchliche Eingaben der Arbeitszeit nicht erst in gewissem Umfang zu dulden, bevor er ein fälschungssicheres Zeiterfassungssystem nutzen könne – er müsse jedoch die Erforderlichkeit der Verarbeitung biometrischer Daten anhand von Tatsachen darlegen. Zurückzuführen ist dies auf das grundsätzliche Verbot der Verarbeitung biometrischer Daten.
Auswirkungen auf die Praxis
Die Berufung hätte sich der Arbeitgeber sparen können – das Ergebnis war für Datenschützer vorhersehbar. Nichtsdestotrotz eignen sich die beiden Urteile, um einen Einblick in eine vollumfängliche Prüfung der Erforderlichkeit zu gewinnen.
