Source: Deutsche Nachrichten
In vielen Unternehmen stempeln sich Mitarbeitende per Fingerabdruckscanner oder Gesichtserkennung in die Arbeitszeiterfassung ein. Das wirkt auf den ersten Blick attraktiv, da sie fälschungssicher und komfortabel ist. Zusätzlich verhindert dieses Einstempeln den Missbrauch, wie z.B. das “Buddy Punching”, bei dem ein Kollegen für andere einstempeln. Doch was recht praktisch klingt, wirft erhebliche datenschutzrechtliche Probleme auf.
Biometrische Daten sind besonders sensibel
Biometrische Merkmale wie Fingerabdrücke, Gesichtszüge oder Iris-Scans sind nach der Datenschutzgrundverordnung (DSGVO) eine „besondere Kategorie personenbezogener Daten“. Ihre Verarbeitung ist grundsätzlich verboten, außer es gibt eine klare Rechtsgrundlage oder eine freiwillige Einwilligung der Mitarbeiter. Das macht den Einsatz von Finger- oder Gesichtsscannern in der Arbeitswelt besonders heikel, denn Beschäftigte befinden sich in einem Abhängigkeitsverhältnis und eine wirklich freiwillige Zustimmung ist daher meist fraglich.
Gerichtsurteile und Einsatzbereiche
Mitarbeiter können grundsätzlich die Nutzung von biometrischen Systemen verweigern. 2019 entschied das Landesarbeitsgericht Berlin-Brandenburg (Az. 10 Sa 2130/18), dass ein Arbeitnehmer die Nutzung eines Fingerabdruckscanners verweigern durfte. Als Grund nannte das Gericht, dass biometrische Systeme nicht erforderlich sind, wenn einfachere Alternativen wie Chipkarten oder PINs genutzt werden können. Der Einsatz biometrischer Systeme ist nur in Ausnahmefällen zulässig. Zum Beispiel in Unternehmen mit Hochsicherheitsbereichen.
Risiken und Probleme
Der größte Nachteil biometrischer Systeme liegt in der Unumkehrbarkeit. Während sich ein Passwort ändern lässt, bleibt ein Fingerabdruck ein Leben lang gleich. Gerät er in falsche Hände, ist Missbrauch kaum zu verhindern. Bedenken muss man beim Einsatz auch den Speicherort und die Zugriffssicherheit. Denn werden die Daten auf externen Servern ohne ausreichenden Schutz abgelegt, steigt das Risiko eines Datenlecks erheblich.
Praxisempfehlungen für Unternehmen
Für die meisten Betriebe ist der Einsatz biometrischer Systeme nicht empfehlenswert. Stattdessen bieten sich weniger invasive Alternativen wie Transponder an. Wer dennoch Biometrie einsetzen möchte, muss zwingend eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchführen, die Erforderlichkeit dokumentieren und nachweisen, dass keine einfacheren Systeme infrage kommen.
Der Blick in die Zukunft
Mit der gesetzlichen Pflicht zur elektronischen Arbeitszeiterfassung wird die biometrische Variante vermutlich nicht zum Standard. Zu groß sind die rechtlichen Hürden und Risiken für Unternehmen. Stattdessen setzen viele Anbieter auf einfache Lösungen wie Software am PC oder Transponder. Hier bleiben die Daten im Unternehmen gespeichert.