Skip to content

Verbotene Praktiken nach Art. 5 der KI-Verordnung - Manipulative KI-Systeme - Ausnutzung der Schwächen von Personengruppen - Social Scoring - Biometrische Fernidentifizierung im öffentlichen Raum

Mit Inkrafttreten der Verordnung (EU) 2024/1689 zur Regulierung von Künstlicher Intelligenz (KI-Verordnung) hat die Europäische Union einen neuen regulatorischen Rahmen geschaffen, um die Nutzung von KI-Systemen zu steuern und Risiken für Sicherheit, Gesundheit und Grundrechte zu minimieren. Die Verordnung basiert auf einem risikobasierten Ansatz und enthält klare Vorgaben für den Einsatz von KI-Systemen. Im Mittelpunkt steht dabei die Unterscheidung zwischen verschiedenen Risikokategorien, wobei die gefährlichsten KI-Praktiken vollständig verboten sind.

Artikel 5 der KI-Verordnung benennt abschließend bestimmte verbotene KI-Praktiken. Diese Praktiken gelten als so schwerwiegend, dass ihr Einsatz unabhängig vom Verwendungszweck oder der jeweiligen Branche vollständig untersagt ist. Unternehmen, die solche KI-Systeme entwickeln oder einsetzen, müssen mit erheblichen Sanktionen rechnen. In diesem Beitrag wird detailliert erläutert, wann verbotene KI-Praktiken vorliegen, welche Vorschriften dies regeln und welche rechtlichen Konsequenzen dies für Unternehmen hat.

I. Wann liegen verbotene KI-Praktiken vor?
Die KI-Verordnung unterscheidet in Artikel 5 zwischen verschiedenen KI-Praktiken, die per se verboten sind, da sie gegen fundamentale Rechte und Werte verstoßen oder erhebliche Risiken für die öffentliche Sicherheit darstellen. Diese Praktiken sind abschließend aufgelistet und umfassen folgende Hauptkategorien:

1. Manipulative KI-Systeme
Artikel 5 Abs. 1 lit. a verbietet den Einsatz von KI-Systemen, die durch unterbewusste Techniken das Verhalten von Personen in einer Weise manipulieren, dass dies zu physischen oder psychischen Schäden führt. Ziel dieser Vorschrift ist der Schutz der Autonomie und des freien Willens von Individuen. Manipulative Systeme, die gezielt unterbewusste Techniken nutzen, um Menschen zu bestimmten Handlungen zu verleiten, stellen ein erhebliches Risiko dar.

Beispielsweise könnte ein KI-System, das unbewusst Kaufentscheidungen beeinflusst oder Menschen zu gesundheitsschädlichem Verhalten verleitet, unter diese Kategorie fallen. Ein solches System würde das Risiko mit sich bringen, dass die betroffene Person gegen ihren Willen zu Handlungen gedrängt wird, die ihr schaden.

2. Ausnutzung von Schwächen bestimmter Personengruppen
Nach Artikel 5 Abs. 1 lit. b ist der Einsatz von KI-Systemen verboten, die die besonderen Schwächen bestimmter Personengruppen ausnutzen, wie z. B. Kinder oder Menschen mit Behinderungen. Diese Vorschrift zielt auf den Schutz besonders schutzbedürftiger Gruppen ab, die durch KI-Systeme besonders leicht zu manipulieren oder zu beeinflussen sind.

Ein Beispiel wäre eine KI, die Kinder gezielt dazu verleitet, exzessiv Videospiele zu spielen oder Käufe zu tätigen, indem sie deren mangelnde kognitive Reife oder emotionale Schwächen ausnutzt.

3. KI-Systeme zur sozialen Bewertung (Social Scoring)
Artikel 5 Abs. 1 lit. c verbietet den Einsatz von KI-Systemen durch Behörden zur Bewertung des Verhaltens von Bürgern über einen längeren Zeitraum hinweg und zur Vergabe von sozialen Vorteilen oder Nachteilen (sogenanntes „Social Scoring“). Ein solches System könnte dazu führen, dass Personen aufgrund ihres Verhaltens oder anderer Kriterien in diskriminierender Weise behandelt werden.

Ein bekanntes Beispiel hierfür ist das Social Credit System, das in einigen Staaten zur Bewertung des Verhaltens von Bürgern eingesetzt wird. Dieses Vorgehen birgt das Risiko, dass soziale, wirtschaftliche oder rechtliche Entscheidungen auf Grundlage ungenauer oder unverhältnismäßiger Bewertungen getroffen werden.

4. Biometrische Fernidentifizierung im öffentlichen Raum
Artikel 5 Abs. 1 lit. d der KI-Verordnung untersagt den Einsatz von KI-Systemen zur biometrischen Fernidentifizierung in Echtzeit in öffentlichen Räumen, es sei denn, sie sind ausdrücklich durch das Recht der Union oder der Mitgliedstaaten erlaubt. Derartige Systeme, wie beispielsweise Gesichtserkennungstechnologien, können eine massive Überwachung ermöglichen und das Recht auf Privatsphäre erheblich einschränken.

Ausnahmen bestehen nur in streng geregelten Fällen, etwa bei der Verhinderung schwerer Straftaten oder zur Terrorismusbekämpfung, und müssen von den zuständigen Behörden genehmigt werden.

II. Rechtliche Konsequenzen für Unternehmen
Für Unternehmen, die verbotene KI-Praktiken anwenden, hat die Nichteinhaltung der Vorschriften schwerwiegende Folgen. Die Verordnung sieht umfassende Sanktionen vor, die insbesondere in Artikel 71 geregelt sind.

1. Bußgelder
Verstöße gegen Artikel 5 der KI-Verordnung können mit erheblichen Bußgeldern geahndet werden. Artikel 71 Abs. 3 legt fest, dass Unternehmen bei Verstößen gegen die Verbotsvorschriften Geldbußen von bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes des Unternehmens zu zahlen haben, je nachdem, welcher Betrag höher ist. Diese hohen Bußgelder unterstreichen den Stellenwert der Verordnung und die Schwere von Verstößen.

Diese Sanktionen stehen in ihrer Höhe den Bußgeldern der Datenschutz-Grundverordnung (DSGVO) nahe und verdeutlichen die Entschlossenheit der EU, die Einhaltung der Vorschriften durchzusetzen.

2. Betriebseinstellungen und Vertriebsverbote
Neben Bußgeldern kann die zuständige Aufsichtsbehörde gemäß Artikel 71 Abs. 4 auch andere Sanktionen verhängen, darunter:

Einstellung des Betriebs eines KI-Systems, das gegen die Verbote verstößt,
Rückruf von Produkten, die verbotene KI-Systeme enthalten,
Verbot des Inverkehrbringens oder der Bereitstellung von solchen Systemen auf dem europäischen Markt.
Diese Maßnahmen können für Unternehmen besonders schwerwiegend sein, da sie direkt den Fortbestand des Geschäftsmodells oder den Einsatz von innovativen Technologien betreffen.

3. Haftung für Schäden
Unternehmen, die verbotene KI-Systeme einsetzen, können zudem zivilrechtlich für Schäden haftbar gemacht werden, die durch den Einsatz solcher Systeme verursacht wurden. Dies ergibt sich aus den allgemeinen Haftungsvorschriften im Zivilrecht, aber auch aus der DSGVO, sofern personenbezogene Daten betroffen sind. Geschädigte Personen haben das Recht, auf Schadensersatz zu klagen, insbesondere wenn durch den Einsatz eines verbotenen KI-Systems ihre Grundrechte verletzt wurden.

III. Praktische Herausforderungen für Unternehmen
Die Implementierung der Vorschriften der KI-Verordnung erfordert von Unternehmen erhebliche Anstrengungen. Insbesondere die Einhaltung der Verbote nach Artikel 5 stellt Unternehmen vor praktische Herausforderungen:

1. Risikoabschätzung und Compliance
Unternehmen müssen sicherstellen, dass ihre KI-Systeme im Einklang mit den Verboten stehen. Hierzu sind umfassende Risikomanagement-Systeme erforderlich, die mögliche Risiken von KI-Anwendungen erfassen und geeignete Maßnahmen zur Vermeidung von Verstößen festlegen. Da KI-Systeme oft komplex und schwer durchschaubar sind, müssen Unternehmen sicherstellen, dass sie die Funktionsweise ihrer Systeme genau kennen und regelmäßig überprüfen.

2. Interne Kontrollen und Prüfmechanismen
Ein wichtiger Bestandteil der Compliance-Strategie ist die Implementierung von internen Prüfmechanismen, die sicherstellen, dass verbotene KI-Praktiken nicht unbewusst in die Unternehmensprozesse eingebaut werden. Dies erfordert insbesondere regelmäßige Audits und die Einrichtung von Kontrollinstanzen innerhalb des Unternehmens, etwa durch Ethik- oder Datenschutzbeauftragte, die den Einsatz von KI-Systemen überwachen.

3. Schulung und Sensibilisierung der Mitarbeiter
Da KI-Systeme oft tief in den Unternehmensprozessen verankert sind, ist es notwendig, die Mitarbeiter regelmäßig zu schulen und für die rechtlichen Anforderungen zu sensibilisieren. Dies gilt insbesondere für Entwickler und Anwender von KI-Systemen, die für die Einhaltung der Vorschriften verantwortlich sind.

Fazit
Artikel 5 KI-Verordnung soll sicherstellen, dass besonders gefährliche und ethisch bedenkliche KI-Praktiken vollständig verboten werden. Für Unternehmen ist die Einhaltung dieser Verbote von entscheidender Bedeutung, da Verstöße nicht nur zu erheblichen Bußgeldern, sondern auch zu Betriebsverboten und anderen schwerwiegenden Konsequenzen führen können.

Unternehmen müssen daher umfassende Compliance-Strategien entwickeln, um sicherzustellen, dass ihre KI-Systeme im Einklang mit der Verordnung stehen. Besonders im Hinblick auf die verbotenen Praktiken erfordert dies ein hohes Maß an Transparenz und interne Prüfmechanismen, um die Risiken, die von der Nutzung von KI ausgehen, wirksam zu kontrollieren. Rechtsprechung und Aufsichtspraxis werden zeigen, wie streng die Vorschriften der KI-Verordnung durchgesetzt werden. Ein Blick in die Vergangenheit zeigt, dass sich immer Gerichte und Aufsichtsbehörden finden, welche einen besonder strengen Maßstab bei der Auslegung rechtliche Vorgaben anglegen.


LAG Berlin-Brandenburg: Biometrisches Zeiterfassungsystem im Regelfall nicht erforderlich im Sinne von Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 BDSG

LAG Berlin-Brandenburg
Urteil vom 04.06.2020
10 Sa 2130/19


Das LAG Berlin-Brandenburg hat entschieden, dass ein biometrisches Zeiterfassungsystem im Regelfall nicht erforderlich im Sinne von Art. 9 Abs. 2 lit. b DSGVO und § 26 Abs. 3 BDSG ist.

Aus den Entscheidungsgründen:

Die Berufung ist zwar zulässig, aber nicht begründet. Denn der Beklagten ist es nicht gelungen darzulegen, dass der Kläger mit dem in den drei Abmahnungen gerügten Verhalten seine arbeitsvertraglichen Pflichten verletzt hat. Im Ergebnis und auch in der Begründung ist keine andere Beurteilung als in erster Instanz gerechtfertigt. Das Landesarbeitsgericht folgt dem Arbeitsgericht Berlin hinsichtlich der Begründung und sieht insoweit gemäß § 69 Abs. 2 ArbGG von einer nur wiederholenden Begründung ab. Die Angriffe der Berufung sind nicht geeignet, die Rechtslage anders zu beurteilen.

1. Minutien sind entgegen der von der Beklagten in der Berufungsverhandlung geäußerten Ansicht biometrische Daten. Minutien sind zwar „nur“ Fingerlinienverzweigungen, so dass der dazu gehörige Fingerabdruck nicht „als Ganzes“ verarbeitet wird. Nach Art. 4 Nr. 14 der europäischen Datenschutzgrundverordnung (DSGVO) sind biometrische Daten aber alle mit speziellen technischen Verfahren gewonnene personenbezogene Daten u.a. zu den physischen und physiologischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglicht oder bestätigt. Das ist bei Minutien der Fall.

2. Die Beklagte verkennt mit ihrer Argumentation in der Berufung den Regelungsgehalt der DSGVO. Wie das Arbeitsgericht bereits hervorgehoben hat, regelt Art. 9 Abs. 1 DSGVO ausdrücklich, dass die Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person untersagt ist. Von diesem Grundsatz lässt Art. 9 Abs. 2 DSGVO zwar, wie das Arbeitsgericht auch ausgeführt hat, einzelne Ausnahmen zu. Im hiesigen Fall kommt allein die Ausnahme nach Art. 9 Abs. 2 lit. b DSGVO in Betracht. Danach muss die Verarbeitung erforderlich sein, damit die Beklagte oder der Kläger die ihnen aus dem Arbeitsrecht erwachsenden Rechte ausüben und ihren diesbezüglichen Pflichten nachkommen können, soweit dies nach Unionsrecht, nach nationalem Recht oder nach einer Kollektivvereinbarung zulässig ist.

2.1 Nach der jüngsten Rechtsprechung des Europäischen Gerichtshofs (EuGH) vom 14. Mai 2019 in der Rechtssache C-55/18, die zum Zeitpunkt der hier streitigen Abmahnungen noch nicht bekannt war, gebieten die Art. 3, 5 und 6 der Richtlinie 2003/88/EG des Europäischen Parlaments und des Rates vom 4. November 2003 über bestimmte Aspekte der Arbeitszeitgestaltung im Licht von Art. 31 Abs. 2 der Charta der Grundrechte der Europäischen Union sowie von Art. 4 Abs. 1, Art. 11 Abs. 3 und Art. 16 Abs. 3 der Richtlinie 89/391/EWG des Rates vom 12. Juni 1989 über die Durchführung von Maßnahmen zur Verbesserung der Sicherheit und des Gesundheitsschutzes der Arbeitnehmer bei der Arbeit, dass Arbeitgeber ein System einrichten, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann.

Die Beklagte hat zwar als das wesentliche Ziel der Einführung des Zeiterfassungssystems Model „ZEUS“ der Firma I. GmbH nebst einem Terminal „IT 8200 FP“ die Verhinderung von Arbeitszeitmanipulationen angegeben und nicht die Sicherstellung von gerechten und angemessenen Arbeitsbedingungen, wie Art. 31 GRCh das insbesondere durch eine Begrenzung der Höchstarbeitszeit und die Einhaltung der täglichen und wöchentlichen Ruhezeiten vorsieht. Aber dennoch ist ein Arbeitgeber nach den im vorhergehenden Absatz genannten Normen verpflichtet, ein objektives, verlässliches und zugängliches System, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann, einzurichten.

Es ist aber nicht ersichtlich, dass ein objektives, verlässliches und zugängliches System der Verarbeitung biometrischer Daten des Klägers (oder anderer Mitarbeitender) bedarf. In der Rd.-Nr. 63 der EuGH-Entscheidung vom 14. Mai 2019 hat der Gerichtshof ausdrücklich auf die Rd.-Nrn. 85-88 der Schlussanträge des Generalanwalts Bezug genommen. Dieser hat dort in Rd.-Nr. 87 ausdrücklich ausgeführt:

Insoweit ist darauf hinzuweisen, dass die derzeitige Technologie die verschiedensten Systeme zur Erfassung der Arbeitszeit ermöglicht (Aufzeichnungen in Papierform, Computerprogramme, elektronische Zeitausweise).

Zwar erlaubt Art. 88 DSGVO zusätzliche nationale Regelungen zur Datenverarbeitung im Beschäftigungskontext. Davon hat der deutsche Gesetzgeber mit § 26 BDSG Gebrauch gemacht. Aber auch für die Verarbeitung von Daten im Beschäftigungskontext gelten zunächst die allgemeinen Regelungen der DSGVO. Die Öffnungsklausel in Art. 88 DSGVO ist keine Bereichsausnahme in dem Sinn, dass der Anwendungsbereich der Verordnung per se eingeschränkt wäre (vgl. etwa Nolte in Kommentar zur Datenschutzgrundverordnung, hrsg. von Gierschmann u.a., Art. 88 RN 9). Der Maßstab bei der Verarbeitung biometrischer Daten ist im Beschäftigungskontext kein anderer als außerhalb des Beschäftigungskontexts (Nolte, ebenda RN 13). Art. 88 DSGVO erlaubt nur eine Konkretisierung oder Präzisierung, nicht jedoch ein Abweichen oder Verändern (Nolte, ebenda RN 19 m.w.N.).

2.2 In einem zweiten Schritt ist deshalb zu prüfen, ob die Verarbeitung biometrischer Daten des Klägers bei der Zeiterfassung „erforderlich“ ist, damit die Beklagte bzw. der Kläger ihre Rechte ausüben oder ihren Pflichten nachkommen können. In der Gesetzesbegründung zu § 26 BDSG hat der deutsche Gesetzgeber festgehalten, dass im Rahmen der Erforderlichkeitsprüfung die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen seien. Dabei seien die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtige (BT-Drs. 18/11325, S. 97).

Zusätzlich zur Verhältnismäßigkeitsprüfung im Rahmen der Erforderlichkeit darf kein Grund zu der Annahme bestehen, dass die schutzwürdigen Interessen der betroffenen Beschäftigten die Interessen des verantwortlichen Arbeitgebers an der Verarbeitung überwiegen (BT-Drs. 18/11325, S. 98). Erst wenn also diese Erforderlichkeit und die Feststellung, dass schutzwürdige Interessen der Betroffenen nicht entgegenstehen grundsätzlich bejaht werden sollten, kommt es auf die von der Beklagten auch angegebenen „geeigneten Garantien für die Grundrechte und die Interessen der betroffenen Person“ an, also technische und organisatorische Vorkehrungen wie z.B. Anonymisierung, Pseudonymisierung und Zugriffsbeschränkungen auf die biometrischen Daten des Klägers.

„Erforderlich“ ist ein technisches System, das das Persönlichkeitsrecht eines Menschen berührt, nur dann, wenn ein legitimer Zweck verfolgt wird und zur Erreichung dieses Zwecks kein gleich wirksames und das Persönlichkeitsrecht weniger einschränkende Mittel zur Verfügung steht (BAG vom 25. April 2017 – 1 ABR 46/15). Auch das hat das Arbeitsgericht zutreffend seiner Entscheidung zugrunde gelegt.

Die Beklagte hat in der Berufungsbegründung auf Seite 10, wenn auch vielleicht versehentlich, ausdrücklich angegeben, dass es neben dem Terminal „IT 8200 FP“ für das Zeiterfassungssystem Model „ZEUS“ der Firma I. GmbH auch ein Terminal mit der Bezeichnung „IT 8200“ gibt. Dabei handelt es sich um ein Ausweisleser-System, also ein System ohne Nutzung biometrischer Daten des Klägers, was eine Internetrecherche bestätigt hat. Dieses ist mit Chipkarten und Transpondern und anderen lesbaren Ausweisen zu betreiben.

2.2.1 Die Beklagte hat angeführt, dass das Zeiterfassungssystem im Betrieb (mit biometrischen Daten u.a. des Klägers) zu betreiben sei, weil in diesem System bereits die Soll-Arbeitszeiten hinterlegt seien, die zuvor in dem Papiersystem regelmäßig und nicht nachvollziehbar verlängert oder reduziert worden seien. Diese Funktionalität wäre mit dem Terminal IT 8200 ebenso vollständig nutzbar, ohne biometrische Daten des Klägers zu verarbeiten.

2.2.2 Die Beklagte hat weiter ausgeführt, dass der bundesweit tätige Konzern, dem die Beklagte angehöre, eine einheitliche Erfassung der Anwesenheitszeiten mittels Fingerabdruckscanner wünsche. Das Personal werde über die Konzernpersonalabteilung einheitlich gesteuert. Das sei ein legitimes Interesse und auch im Interesse der Mitarbeitenden, denen Aufstiegschancen im Konzern ermöglicht würden. Auch wenn nicht ganz verständlich ist, weshalb für die Aufstiegschancen von Beschäftigten die Anwesenheitszeiten relevant sind, könnte dieser Effekt jedenfalls auch mit dem Terminal IT 8200 ebenso erreicht werden.

2.2.3 Die Beklagte hat auch als legitimes Interesse angeführt, dass die Zeiterfassung mittels Fingerscanner auf Dauer preiswerter sei als die Pflege eines Chipkartensystems, welches bei Kartenverlust ausgetauscht bzw. neu programmiert werden müsse. Nähere Angaben zur Kalkulation der beiden Varianten hat die Beklagte nicht vorgetragen, obwohl der Kläger in der Berufungserwiderung vom 23. März 2020 ausdrücklich bestritten hat, dass ein Fingerabdrucksystem preiswerter und längerfristig günstiger zu betreiben sei als ein chipkartengesteuertes System. Deshalb kann mangels entsprechendem Tatsachenvortrag der Beklagten in diesem Verfahren dahinstehen, ob und gegebenenfalls welche Kostenersparnis die Verarbeitung biometrischer Daten eines Beschäftigten rechtfertigen könnte.

2.2.4 Ein weiteres Interesse am Einsatz des Systems hat die Beklagte damit angegeben, dass auch beim Vergessen und Verlieren der Chipkarte die Arbeitszeit nicht fehlerfrei erfassbar sei. Dazu hat die Beklagte aber selbst bereits in einer Informationsmail vom 27. Juli 2018 an die Beschäftigten angenommen, dass es auch bei dem Terminal IT 8200 FP Situationen des Nichtfunktionierens geben könne. Dort hatte die Beklagte ausdrücklich ausgeführt:

„Sollte die Zeiterfassung mal nicht funktionieren, schreibt Euch bitte die Arbeitszeiten auf. Diese werden dann nachträglich im System eingepflegt. Doreen wird sich zukünftig um diese Aufgaben kümmern …“

Selbst wenn die Beklagte davon ausgehen sollte, dass Beschäftigte der Beklagten in relevantem Umfang Chipkarten vergessen oder verlieren würden, hätte es die Beklagte in der Hand, durch den Einsatz kleinerer Transponder, die man mit dem Schlüsselbund verbinden könnte, das Risiko des Vergessen und Verlierens erheblich zu minimieren. Im Übrigen erschließt sich für das Berufungsgericht nicht, weshalb bei einem technischen Versagen des Systems die händische Aufzeichnung ausreichen soll, bei einem menschlichen Versagen (des Systems) aber nicht. Im Übrigen wäre es der Beklagten natürlich auch nicht verwehrt, ein tatsächliches Fehlverhalten des Klägers zu sanktionieren. Da der Kläger seine Arbeit zusammen mit anderen Beschäftigten (und Patienten) erledigt, ist nicht ersichtlich, dass etwaige Arbeitszeitmanipulationen im Betrieb auch ohne dauernd anwesende Praxismanager unentdeckt bleiben würden.

2.2.5 Weitere Aspekte für das System der Verarbeitung biometrischer Daten des Klägers hat die Beklagte mit dem Umstand benannt, dass sensible Gesundheitsdaten bei der Beklagten verwahrt würden. Deshalb müsse sie fälschungssicher feststellen können, welche Mitarbeitende sich zu welcher Zeit tatsächlich in den Praxisräumen aufgehalten hätten.

Abgesehen davon, dass die Beklagte keinerlei Tatsachen vorgetragen hat, nach denen der Kläger oder andere Mitarbeitende ein Risiko für sensible Gesundheitsdaten der Patienten darstellen würden, ist davon auszugehen, dass die Beklagte die Gesundheitsdaten der Patienten, die ebenso wie die biometrischen Daten des Klägers als besondere Kategorien von Art. 9 DSGVO erfasst sind, nicht offen in den Praxisräumen verwahrt, sondern diese auch noch gegen unberechtigte Zugriffe innerhalb der Praxisräume gesichert hat. Aber auch unabhängig davon erschließt sich nicht, inwiefern ein fälschungssicheres Zeiterfassungssystem die Patientendaten in den Praxisräumen besonders schützen würde. Weder hat die Beklagte die Art und Weise der Aufbewahrung der Patientendaten näher dargelegt noch inwieweit diese gefährdet sind. Selbst wenn das aber der Fall wäre, wäre allenfalls ein Zugangskontrollsystem geeignet, ein Betreten der Praxisräume zu dokumentieren. Ein Zeiterfassungssystem, das (nur) die berechtigte Anwesenheit dokumentiert, ist dafür ungeeignet. Insofern ist der Vortrag der Beklagten zum Schutz der Patientendaten nicht geeignet, berechtigte Interessen an der Verarbeitung biometrischer Daten des Klägers zu begründen.

2.2.6 Schließlich hat die Beklagte angegeben, das angesichts der Infektionsrisiken eine genaue Zeiterfassung erforderlich sei, um Infektionsketten aufklären zu können. Das diene dem Schutz der übrigen Mitarbeitenden und der Patienten. Das Bundesarbeitsgericht hat aber entschieden, dass Gefährdungen bei der Arbeit entweder feststehen oder im Rahmen einer Gefährdungsbeurteilung nach § 5 ArbSchG (bzw. § 4 BioStoffVO oder § 6 GefStoffVO) ermittelt sein müssen, um erforderliche Maßnahmen daraus abzuleiten (BAG vom 28. März 2017 – 1 ABR 25/15). Zwar handelte es sich insoweit um eine Entscheidung über die Reichweite der Befugnisse einer Einigungsstelle nach § 76 BetrVG. Da aber die Mitbestimmung im Bereich des § 87 Abs. 1 Nr. 7 BetrVG nur einsetzt, wenn für einen Arbeitgeber eine Handlungspflicht besteht, gelten diese Grundsätze in einem Betrieb ohne Betriebsrat ebenso. Die Beklagte hat aber weder Tatsachen vorgetragen, aus denen sich feststehende Gefährdungen ergeben, die als erforderliche Maßnahme im Sinne des § 3 ArbSchG die Aufklärung einer Infektionskette erfordern würden, noch hat die Beklagte das Ergebnis einer Gefährdungsbeurteilung vorgetragen, das als erforderliche Maßnahme die Aufklärung einer Infektionskette erfordern würde.

2.2.7 Danach verbleibt allein das Verlangen der Beklagten, jegliche Manipulation bei der Zeiterfassung auszuschließen. Zutreffend weist die Beklagte darauf hin, dass ein Arbeitgeber nicht erst in gewissem Umfang missbräuchliche Eingaben der Arbeitszeit dulden müsse, bevor er ein fälschungssicheres Zeiterfassungssystem zur Anwendung bringen dürfe. Allerdings hat die Beklagte aufgrund des grundsätzlichen Verbots der Verarbeitung biometrischer Daten sowohl nach Art. 9 Abs. 2 lit. b DSGVO wie auch nach § 26 Abs. 3 BDSG die Erforderlichkeit der Verarbeitung biometrischer Daten anhand von Tatsachen darzulegen.

2.2.7.1 Die Beklagte hat vorgetragen, dass aufgrund der Erfahrungen mit dem analogen Papier-Dienstplan in Berlin zu erwarten sei, dass die Manipulation der Dienstzeiterfassung per Chipkarte fortgesetzt werde, da dieses technisch ebenso einfach sei. Dem vermag das Berufungsgericht nicht zu folgen. Denn eine Papierdokumentation lässt sich jederzeit durch Überschreibung, Ergänzung und/oder Löschung mittels Korrekturflüssigkeit verändern. Das elektronische System „ZEUS“ der Firma I. GmbH speichert auch ohne biometrische Daten des Klägers soweit ersichtlich die jeweiligen Buchungen, so dass jederzeit nachvollziehbar ist, wann welche Erfassung vorgenommen worden ist.

2.2.7.2 Richtig ist der Vortrag der Beklagten, dass es bei einem Zeiterfassungssystem mittels Chipkarten- oder Transpondersystem nicht ausgeschlossen ist, dass Beschäftigte ihre Anwesenheit vortäuschen ohne tatsächlich anwesend zu sein. Allerdings dürfte dieses abgesehen von den unter 2.2.4 beschriebenen Sachverhalten einen Arbeitszeitbetrug und somit eine Straftat darstellen.

Wenn aber für die Aufdeckung von Straftaten entsprechend § 26 Abs. 1 Satz 2 BDSG personenbezogene Daten von Beschäftigten nur verarbeitet werden dürfen, wenn „zu dokumentierende tatsächliche Anhaltspunkte“ den Verdacht begründen, muss das erst recht für den Fall gelten, dass zur Vermeidung von Straftaten eine ständige Verarbeitung besonders geschützter biometrischer Beschäftigtendaten erfolgen soll. Dieser Grundrechtseingriff ist aufgrund der Festlegung in § 9 DSGVO von hoher Intensität und kann bereits als solcher unverhältnismäßig sein, wenn der Eingriffsanlass kein hinreichendes Gewicht aufweist. Soweit der Eingriff der Abwehr bestimmter Gefahren dient, kommt es für das Gewicht des Eingriffsanlasses maßgeblich auf den Rang und die Art der Gefährdung der Schutzgüter an (vgl. auch BVerfG vom 27. Februar 2008 – 1 BvR 370/07, 1 BvR 595/07).

Die Behauptung der Beklagten, dass es in einem verbundenen anderen Unternehmen zu Missbräuchen mit anderen technischen Zeiterfassungssystemen gekommen sei, hat die Beklagte trotz Bestreitens des Klägers nicht näher dargelegt. Dass Kartensysteme und andere Systeme beispielsweise durch die Übergabe der Karten an Kollegen (und die strafrechtlich relevante Benutzung durch diese) fälschlich Anwesenheiten vorspiegeln würden, ist richtig. Weshalb es aber im Betrieb der Beklagten in Berlin unentdeckt bleiben soll, wenn der Kläger (bzw. andere Mitarbeiter) entgegen dem Dienstplan bzw. der im System hinterlegten Sollarbeitszeit zu spät erscheinen oder vorzeitig gehen, ist dem Vortrag der Beklagten nicht zu entnehmen. Selbst wenn entsprechend dem Vortrag der Beklagten nicht immer ein Praxismanager vor Ort sein sollte, sind die übrigen Beschäftigten vor Ort. Dass diesen eine etwaige Unterbesetzung nicht auffallen würde, ist dem Vortrag der Beklagten nicht zu entnehmen.

2.3 Nach alledem hat die Beklagte keine Tatsachen dargelegt, nach denen die Verarbeitung biometrischer Daten des Klägers bei der Zeiterfassung „erforderlich“ ist, damit die Beklagte bzw. der Kläger ihre Rechte ausüben oder ihren Pflichten nachkommen können.

Da der Kläger somit keine arbeitsvertragliche Nebenpflicht verletzt hat, indem er sich geweigert hat, dass die Beklagte seine biometrischen Daten bei der Arbeitszeiterfassung verarbeiten kann, sind die Abmahnungen vom 5. Oktober 2018 und 26. März 2019 zu Unrecht erfolgt und diese deshalb, wie bereits vom Arbeitsgericht in dem angefochtenen Urteil festgestellt, in entsprechender Anwendung der §§ 242, 1004 BGB ersatzlos aus der Personalakte des Klägers zu entfernen.


Den Volltext der Entscheidung finden Sie hier: