Der technologische Fortschritt hat das 21. Jahrhundert zweifellos geprägt. Infolgedessen setzen Arbeitgeber vermehrt auf Tools, die biometrische Daten von Mitarbeitern nutzen, um ihre Geschäftsanforderungen zu erfüllen. Zur Identifizierung von Mitarbeitern und zur Zeiterfassung greifen sie immer häufiger auf Technologien zurück, die Gesichtserkennung, Fingerabdruckidentifizierung und sogar Netzhautscans ermöglichen. Doch sind solche Lösungen legal?

Biometrische Daten

Artikel 4 Nummer 14 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG definiert biometrische Daten als: „personenbezogene Daten, die sich auf bestimmte technische Verfahren beziehen und die sich auf physische, physiologische oder verhaltensbezogene Merkmale einer natürlichen Person beziehen und die eindeutige Identifizierung dieser Person ermöglichen oder bestätigen, wie beispielsweise ein Gesichtsbild oder daktyloskopische Daten.“ Biometrische personenbezogene Daten umfassen beispielsweise Fingerabdruckmuster, Gefäßmuster, Iris-Muster, Handgeometrie oder Gesichtsgeometrie, die wir im Alltag zur Authentifizierung von Mobiltelefonen verwenden.

Grundlagen der Nutzung biometrischer Daten durch Arbeitgeber

Ein Arbeitgeber darf biometrische personenbezogene Daten gemäß Artikel 21 des Arbeitsgesetzbuches nur verarbeiten, soweit dies zur Erfüllung der Pflichten und zur Ausübung spezifischer Rechte des Verantwortlichen oder der betroffenen Person im Bereich des Arbeitsrechts, der Sozialversicherung und des Sozialschutzes erforderlich ist. Gemäß Artikel 221B des Arbeitsgesetzbuches darf ein Arbeitgeber biometrische Daten auch verwenden, um den Zugang zu Räumlichkeiten mit besonderen Sicherheitsanforderungen zu beschränken.

Ein zentraler Punkt ist, dass Artikel 9 Absatz 2 der DSGVO vorschreibt, dass solche Daten nur mit der ausdrücklichen Einwilligung der betroffenen Person verarbeitet werden dürfen. Aus Beweisgründen ist es wichtig, dass diese Einwilligung schriftlich erfolgt. Der Arbeitgeber muss den Arbeitnehmer darüber informieren und ihm ermöglichen, die Einwilligung jederzeit ohne negative Folgen zu widerrufen.

Arbeitszeitkontrolle und biometrische Daten

Gemäß dem Urteil des Obersten Verwaltungsgerichts vom 1. Dezember 2009 im Rechtssache I OSK 249/09 ist die Verwendung biometrischer Daten zur Arbeitszeiterfassung unverhältnismäßig zum Zweck der Datenverarbeitung. Daher bietet selbst eine freiwillige Einwilligung dem Arbeitgeber keine Grundlage für die Verwendung biometrischer Daten zur Arbeitszeiterfassung.

Rechtmäßigkeit der Verarbeitung biometrischer Daten von Mitarbeitern

Zusammenfassend lässt sich sagen, dass ein Arbeitgeber die biometrischen Daten eines Mitarbeiters nur dann verarbeiten darf, wenn:

  1. Erfüllt die Grundprinzipien der Verarbeitung personenbezogener Daten gemäß Artikel 5 der DSGVO.
  2. Weisen Sie den Mitarbeiter auf seine Rechte hin.
  3. Ermächtigt den Mitarbeiter zur Verarbeitung biometrischer Daten und verpflichtet ihn zur Wahrung der Vertraulichkeit.
  4. Es verfügt über eine Rechtsgrundlage für die Verarbeitung biometrischer Daten.
  5. Dadurch wird ein angemessenes Sicherheitsniveau für die Verarbeitung biometrischer Daten gewährleistet.
  6. Es wird eine Risikoanalyse durchgeführt.
  7. Die Einwilligung des Mitarbeiters zur Verarbeitung seiner/ihrer biometrischen Daten einholen.

Folgen der unrechtmäßigen Verarbeitung biometrischer Daten

Ein Arbeitgeber, der biometrische Daten unrechtmäßig verarbeitet, riskiert ein Verfahren vor dem Präsidenten des Amtes für den Schutz personenbezogener Daten sowie administrative Haftung, einschließlich der Verhängung von Geldstrafen. Auch das Risiko zivil- und strafrechtlicher Konsequenzen ist zu beachten. Ein Arbeitnehmer, dessen biometrische Daten unrechtmäßig verarbeitet werden, hat zudem das Recht, eine Beschwerde bei der Nationalen Arbeitsinspektion einzureichen und vor einem Arbeitsgericht zu klagen.

Wir möchten Sie darauf hinweisen, dass die innerhalb der Organisation geltenden Regeln überprüft und an die geltenden Vorschriften angepasst werden müssen.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.

Rechtsstatus ab dem 20. Dezember 2023

Autor/Herausgeber der Reihe:
Mateusz Grosicki

Mateusz Grosicki

Rechtsanwalt, Partner
+48 506 367 109 | m.grosicki@kglegal.pl

    Haben Sie Fragen? Kontaktieren Sie uns – wir antworten Ihnen so schnell wie möglich.

    Beitragsaufrufe: 27