Die Stundenerfassung mit Fingerabdruck, der Zugang zu ausgewählten Räumlichkeiten nach erfolgter Gesichtserkennung und die Speicherung biometrischer Daten mit einhergehender Speicherung höchst sensibler Daten gehören in manchen Unternehmen längt zur gelebten Praxis im Arbeitsalltag.
Daten dieser Form fallen unter den Artikel 9 der DSGVO („Verarbeitung besonderer Kategorien personenbezogener Daten“). Biometrischen Daten zeichnen sich auch dadurch aus, dass sie in der Regel nicht ersetzbar sind. Eine Zweckentfremdung oder ein Identitätsdiebstahl hätte für Betroffenen weitreichende Folgen. Die automatische Gesichtskontrolle oder eine Zeiterfassung über Fingerabdruck dürften daher keine angemessenen Maßnahmen zur Erfüllung Arbeitgeberseitiger Pflichten aus dem Arbeitsvertrag darstellen. Aus diesem Grund muss immer eine Einwilligung des Betroffene im Sinne des Art. 6 Abs.1 lit a) DSGVO eingeholt und die Informationspflichten des Betroffenen gemäß Art. 12 bis Art. 14 DSGVO erfüllt werden.
Arbeitgeberseitig ist aus arbeitsrechtlicher Sicht aber auch das Urteil des Europäischen Gerichtshofs vom 14. Mai 2019 (C-55/18) zu beachten. Hier hat der EuGH entschieden, dass die Mitgliedstaaten Arbeitgeber dazu verpflichten müssen, ein System einzurichten, mit dem die tägliche Arbeitszeit der Mitarbeiter gemessen werden kann, damit die täglichen und wöchentlichen Mindestruhezeiten und die Obergrenze für die durchschnittliche wöchentliche Arbeitszeit der Arbeitszeitrichtlinie eingehalten werden können. Wie dies in der Praxis sichergestellt werden kann, bleibt abzuwarten.
Quelle: Artikel „Anforderungen an ein biometrisches Authentifizierungssystem“, abgerufen am 24.01.2020 unter https://www.dr-datenschutz.de/anforderungen-an-ein-biometrisches-authentifizierungssystem/