Skip to content

EuGH: Lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung verstößt gegen DSGVO

EuGH
Urteil vom 30.01.2024
C-118/22

Der EuGH hat entschieden, dass die lebenslange Speicherung biometrischer und genetischer Daten von Straftätern ohne regelmäßige Notwendigkeitsprüfung gegen die Vorgaben der DSGVO verstößt.

Tenor der Entscheidung:
Art. 4 Abs. 1 Buchst. c und e der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates in Verbindung mit ihren Art. 5 und 10, ihrem Art. 13 Abs. 2 Buchst. b und ihrem Art. 16 Abs. 2 und 3 sowie im Licht der Art. 7 und 8 der Charta der Grundrechte der Europäischen Union

ist dahin auszulegen, dass

er nationalen Rechtsvorschriften entgegensteht, die vorsehen, dass die Polizeibehörden zum Zweck der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung personenbezogene und insbesondere biometrische und genetische Daten, die wegen einer vorsätzlichen Offizialstraftat rechtskräftig verurteilte Personen betreffen, speichern, und zwar bis zum Tod der betroffenen Person und auch im Fall ihrer Rehabilitierung, ohne den Verantwortlichen zu verpflichten, regelmäßig zu überprüfen, ob diese Speicherung noch notwendig ist, und ohne dieser Person das Recht auf Löschung dieser Daten, sobald deren Speicherung für die Zwecke, für die sie verarbeitet worden sind, nicht mehr erforderlich ist, oder gegebenenfalls das Recht auf Beschränkung der Verarbeitung dieser Daten zuzuerkennen.

Den Volltext der Entscheidung finden Sie hier:

EuGH: Systematische Erhebung biometrischer und genetischer Daten aller beschuldigten Personen für Zwecke polizeilicher Registrierung unzulässig

EuGH
Urteil vom 27.01.2023
c-205/21
Ministerstvo na vatreshnite raboti (Registrierung biometrischer und genetischer Daten durch die Polizei)


Der EuGH hat entschieden, dass die systematische Erhebung biometrischer und genetischer Daten aller beschuldigten Personen für Zwecke polizeilicher Registrierung unzulässig ist.

Die Pressemitteilung des EuGH:
Die systematische Erhebung biometrischer und genetischer Daten aller beschuldigten Personen für die Zwecke ihrer polizeilichen Registrierung verstößt gegen die Anforderung, einen erhöhten Schutz gegen die Verarbeitung sensibler personenbezogener Daten zu gewährleisten

V. S. wurde im Rahmen eines von den bulgarischen Behörden eingeleiteten Strafverfahrens wegen Steuerhinterziehung beschuldigt, an einer kriminellen Vereinigung beteiligt zu sein, die zu Bereicherungszwecken gebildet worden sei, um in abgestimmter Weise im bulgarischen Hoheitsgebiet Straftaten zu begehen. Auf diese Beschuldigung hin forderte die bulgarische Polizei V. S. auf, sich der Erhebung daktyloskopischer und fotografischer Daten für die Zwecke ihrer Registrierung sowie der Entnahme von Proben zum Zweck der Erstellung ihres DNAProfils zu unterziehen. V. S. verweigerte diese Erhebung.

Gestützt auf das nationale Recht, das die „polizeiliche Registrierung“ von Personen vorsieht, die einer vorsätzlichen, von Amts wegen verfolgten Straftat (im Folgenden: vorsätzliche Offizialstraftat) beschuldigt werden, beantragten die Polizeibehörden beim Spetsializiran nakazatelen sad (Spezialisiertes Strafgericht, Bulgarien), die zwangsweise Durchführung der Erhebung genetischer und biometrischer Daten von V. S. zu bewilligen. Dem Antrag der Polizeibehörden waren lediglich Kopien des Beschlusses über die Beschuldigung von V. S. und von deren Erklärung, dass sie die Erhebung ihrer Daten verweigere, beigefügt.

Das genannte Gericht hegte Zweifel an der Vereinbarkeit der für diese „polizeiliche Registrierung“ geltenden bulgarischen Rechtsvorschriften mit der Richtlinie 2016/6801 in Verbindung mit der Charta der Grundrechte der Europäischen Union (im Folgenden: Charta) und hat den Gerichtshof daher um Vorabentscheidung ersucht.

In seinem Urteil präzisiert der Gerichtshof zunächst die Voraussetzungen, unter denen die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden als nach nationalem Recht im Sinne der Richtlinie 2016/680 zulässig angesehen werden kann. Sodann äußert er sich zur Umsetzung der in dieser Richtlinie aufgestellten Anforderung betreffend die Verarbeitung von Daten einer Kategorie von Personen, bezüglich deren der begründete Verdacht der Beteiligung an einer Straftat besteht, sowie zur Achtung des Rechts auf effektiven gerichtlichen Rechtsschutz und des Grundsatzes der Unschuldsvermutung in Fällen, in denen das nationale Recht dem zuständigen nationalen Gericht gestattet, die zwangsweise Erhebung dieser Daten, die vom Unionsgesetzgeber als „sensibel“ angesehen werden, zu bewilligen. Schließlich befasst er sich mit der Frage, ob die nationalen Rechtsvorschriften, die die systematische Erhebung dieser Daten vorsehen, mit den die Verarbeitung dieser Daten betreffenden Bestimmungen der Richtlinie 2016/680 unter Berücksichtigung der dort verankerten Grundsätze vereinbar sind.

Würdigung durch den Gerichtshof
Der Gerichtshof stellt zunächst fest, dass die Richtlinie 2016/680 im Licht der Charta2 dahin auszulegen ist, dass die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden für ihre Untersuchungstätigkeiten zu Zwecken der Kriminalitätsbekämpfung und der Aufrechterhaltung der öffentlichen Ordnung nach nationalem Recht zulässig ist, wenn Letzteres eine hinreichend klare und präzise Rechtsgrundlage für die Zulässigkeit dieser Verarbeitung enthält. Der Umstand, dass der nationale Gesetzgebungsakt, der eine solche Rechtsgrundlage enthält, im Übrigen auf die Datenschutz- Grundverordnung und nicht auf die Richtlinie 2016/680 Bezug nimmt, ist für sich genommen nicht geeignet, diese Zulässigkeit in Frage zu stellen, sofern die Auslegung aller anwendbaren Bestimmungen des nationalen Rechts hinreichend klar, präzise und unmissverständlich ergibt, dass die fragliche Verarbeitung biometrischer und genetischer Daten in den Anwendungsbereich dieser Richtlinie und nicht in den der DSGVO fällt.

In diesem Zusammenhang stellt der Gerichtshof in Anbetracht dessen, dass sich die einschlägigen nationalen Rechtsvorschriften auf die Bestimmungen der DSGVO zur Regelung der Verarbeitung sensibler Daten beziehen und dabei den Inhalt der Bestimmungen der Richtlinie 2016/680 wiedergeben, die die Verarbeitung eben dieser Daten betreffen, fest, dass diese Bestimmungen nicht gleichwertig sind. Während nämlich eine Verarbeitung sensibler Daten durch die zuständigen Behörden u. a. für die unter die Richtlinie 2016/680 fallenden Zwecke der Verhütung und Aufdeckung von Straftaten nur erlaubt sein kann, wenn sie unbedingt erforderlich ist, und mit geeigneten Garantien einhergehen und im Unionsrecht oder im nationalen Recht vorgesehen sein muss, sieht die DSGVO ein grundsätzliches Verbot der Verarbeitung solcher Daten, versehen mit einer Liste von Ausnahmen, vor. Der nationale Gesetzgeber kann zwar im Rahmen ein und desselben legislativen Instruments die
Verarbeitung personenbezogener Daten zu Zwecken, die unter die Richtlinie 2016/680 fallen, und zu anderen Zwecken, die unter die DSGVO fallen, vorsehen, jedoch ist er verpflichtet, sich zu vergewissern, dass keine Unklarheiten hinsichtlich der Anwendbarkeit des einen oder des anderen Unionsrechtsakts auf die Erhebung sensibler Daten bestehen.

Des Weiteren weist der Gerichtshof in Bezug auf eine etwaige nicht ordnungsgemäße Umsetzung der Richtlinie 2016/680, die das vorlegende Gericht vorgebracht hat, darauf hin, dass diese Richtlinie nicht verlangt, dass die nationalen Vorschriften, die die in ihren Anwendungsbereich fallende Verarbeitung von Daten erlauben, eine Bezugnahme auf diese Richtlinie enthalten müssten. Er stellt klar, dass der nationale Gesetzgeber, wenn er die Verarbeitung biometrischer und genetischer Daten durch die zuständigen Behörden vorsieht, die entweder in den Anwendungsbereich dieser Richtlinie oder in den der DSGVO fallen können, aus Gründen der Klarheit und Genauigkeit zum einen ausdrücklich auf die Vorschriften des nationalen Rechts, die die Umsetzung dieser Richtlinie gewährleisten, und zum anderen auf die DSGVO Bezug nehmen kann, ohne verpflichtet zu sein, die genannte Richtlinie zu erwähnen. Bei einem offensichtlichen Widerspruch zwischen den nationalen Bestimmungen, die die
in Rede stehende Datenverarbeitung erlauben, und jenen, die sie auszuschließen scheinen, muss das nationale Gericht diese Bestimmungen jedoch so auslegen, dass die praktische Wirksamkeit der Richtlinie 2016/680 gewahrt bleibt.

Sodann entscheidet der Gerichtshof, dass die Richtlinie 2016/6805 und die Charta6 nationalen Rechtsvorschriften nicht entgegenstehen, die vorsehen, dass das zuständige Strafgericht im Fall der Weigerung einer Person, die einer vorsätzlichen Offizialstraftat beschuldigt wird, freiwillig an der Erhebung der sie betreffenden biometrischen und genetischen Daten für die Zwecke ihrer Registrierung mitzuwirken, verpflichtet ist, eine Maßnahme der zwangsweisen Durchführung dieser Erhebung zu bewilligen, ohne befugt zu sein, zu beurteilen, ob ein begründeter Verdacht besteht, dass die betreffende Person die Straftat, derer sie beschuldigt wird, begangen hat, sofern das nationale Recht später eine wirksame gerichtliche Kontrolle der Voraussetzungen dieser Beschuldigung, aus denen sich die Bewilligung dieser Erhebung ergibt, gewährleistet.

Insoweit weist der Gerichtshof darauf hin, dass die Mitgliedstaaten nach der Richtlinie 2016/6807 sicherstellen müssen, dass eine klare Unterscheidung zwischen den Daten der verschiedenen Kategorien betroffener Personen getroffen wird, damit auf diese nicht unterschiedslos das gleiche Maß an Eingriffen in ihr Grundrecht auf Schutz ihrer personenbezogenen Daten, unabhängig davon, welcher Kategorie sie zugehören, angewandt wird. Diese Verpflichtung gilt jedoch nicht absolut. Soweit diese Richtlinie die Kategorie von Personen betrifft, gegen die ein begründeter Verdacht besteht, dass sie eine Straftat begangen haben, stellt der Gerichtshof im Übrigen klar, dass das Vorliegen einer hinreichenden Zahl von Beweisen für die Schuld einer Person grundsätzlich zu einem begründeten Verdacht führt, dass diese Person die betreffende Straftat begangen hat. Somit steht die Richtlinie 2016/680 nationalen Rechtsvorschriften nicht entgegen, die die zwangsweise Erhebung von Daten von Personen für die Zwecke ihrer Registrierung vorsehen, bezüglich deren hinreichende Beweise dafür vorliegen, dass sie sich der Begehung einer vorsätzlichen Offizialstraftat schuldig gemacht haben, und die aus diesem Grund beschuldigt worden sind.

Was die Achtung des Rechts auf effektiven gerichtlichen Rechtsschutz, wenn das zuständige nationale Gericht im Hinblick auf die Bewilligung einer Maßnahme der zwangsweisen Durchführung der Erhebung sensibler Daten einer beschuldigter Person die Voraussetzungen für die Beschuldigung nicht in der Sache überprüfen kann, anbelangt, weist der Gerichtshof insbesondere darauf hin, dass sich der Umstand, dass die Würdigung der Beweise, auf die sich die Beschuldigung der betroffenen Person stützt, vorübergehend der gerichtlichen Kontrolle entzogen ist, während des strafrechtlichen Ermittlungsverfahrens als gerechtfertigt erweisen kann. Eine solche Kontrolle in diesem Verfahren könnte nämlich den Ablauf der strafrechtlichen Ermittlungen, in deren Verlauf diese Daten erhoben werden, behindern und die Fähigkeit der Ermittler, weitere Straftaten auf der Grundlage eines Abgleichs dieser Daten mit Daten, die bei anderen Ermittlungen gesammelt wurden, aufzuklären, übermäßig einschränken. Diese Einschränkung des effektiven gerichtlichen Rechtsschutzes ist daher nicht unverhältnismäßig, wenn das
nationale Recht später eine effektive gerichtliche Kontrolle gewährleistet.

Was die Achtung des Rechts auf die Unschuldsvermutung durch eine gerichtliche Entscheidung, mit der die Erhebung der in Rede stehenden Daten bewilligt wird, anbelangt, weist der Gerichtshof zum einen darauf hin, dass, da das nationale Recht im vorliegenden Fall vorsieht, dass diese Erhebung auf die Kategorie der Personen beschränkt ist, deren strafrechtliche Verantwortlichkeit noch nicht festgestellt worden ist, diese Erhebung nicht als geeignet angesehen werden kann, den Eindruck der Behörden widerzuspiegeln, dass diese Personen schuldig seien. Zum anderen stellt der Umstand, dass das Gericht, das über die Schuld der betroffenen Person zu entscheiden hat, in diesem Stadium des Strafverfahrens nicht beurteilen kann, ob die Beweise, auf denen die Beschuldigung dieser Person beruht, ausreichend sind, eine Garantie für die Achtung ihres Rechts auf die Unschuldsvermutung dar.

Schließlich gelangt der Gerichtshof zu dem Ergebnis, dass die Richtlinie 2016/6808 nationalen Rechtsvorschriften entgegensteht, die die systematische Erhebung biometrischer und genetischer Daten aller Personen, die einer vorsätzlichen Offizialstraftat beschuldigt werden, für die Zwecke ihrer Registrierung vorsehen, ohne die Verpflichtung der zuständigen Behörde vorzusehen, zum einen zu überprüfen und nachzuweisen, ob bzw. dass diese Erhebung für die Erreichung der konkret verfolgten Ziele unbedingt erforderlich ist, und zum anderen, ob bzw. dass diese Ziele nicht durch Maßnahmen erreicht werden können, die einen weniger schwerwiegenden Eingriff in die Rechte und Freiheiten der betroffenen Person darstellen.

Insoweit weist der Gerichtshof darauf hin, dass die Richtlinie 2016/680 u. a. einen erhöhten Schutz gegen eine Verarbeitung sensibler Daten, zu denen biometrische und genetische Daten gehören, gewährleisten soll, da eine solche erhebliche Risiken für die Grundrechte und Grundfreiheiten mit sich bringen kann. Die dort genannte Anforderung, dass diese Verarbeitung „nur dann erlaubt [ist], wenn sie unbedingt erforderlich ist“, ist dahin auszulegen, dass sie verschärfte Voraussetzungen für die Rechtmäßigkeit der Verarbeitung dieser sensiblen Daten festlegt.

Außerdem ist die Tragweite dieser Anforderung auch anhand der Grundsätze in Bezug auf die Datenverarbeitung zu bestimmen, wie etwa der Zweckbindung und der Datenminimierung. In diesem Zusammenhang verstoßen nationale Rechtsvorschriften, die die systematische Erhebung biometrischer und genetischer Daten aller Personen, die einer vorsätzlichen Offizialstraftat beschuldigt werden, für die Zwecke ihrer Registrierung vorsehen, grundsätzlich gegen diese Anforderung. Sie können nämlich unterschiedslos und allgemein zur Erhebung von Daten der meisten beschuldigten Personen führen, da der Begriff „vorsätzliche Offizialstraftat“ besonders allgemein gehalten ist und auf eine große Zahl von Straftaten unabhängig von ihrer Art, ihrer Schwere, den besonderen Umstände dieser Straftaten, ihres etwaigen Zusammenhangs mit
anderen laufenden Verfahren, den Vorstrafen der betroffenen Person oder von deren individuellem Profil angewendet werden kann.

Tenor der Entscheidung:

1. Art. 10 Buchst. a der Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates ist im Licht von Art. 52 der Charta der Grundrechte der Europäischen Union

dahin auszulegen, dass

die Verarbeitung biometrischer und genetischer Daten durch die Polizeibehörden für ihre Untersuchungstätigkeiten zu Zwecken der Kriminalitätsbekämpfung und der Aufrechterhaltung der öffentlichen Ordnung nach dem Recht eines Mitgliedstaats im Sinne von Art. 10 Buchst. a dieser Richtlinie zulässig ist, wenn das Recht dieses Mitgliedstaats eine hinreichend klare und präzise Rechtsgrundlage für die Zulässigkeit dieser Verarbeitung enthält. Der Umstand, dass der nationale Gesetzgebungsakt, der eine solche Rechtsgrundlage enthält, im Übrigen auf die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) und nicht auf die Richtlinie 2016/680 Bezug nimmt, ist für sich genommen nicht geeignet, diese Zulässigkeit in Frage zu stellen, sofern die Auslegung aller anwendbaren Bestimmungen des nationalen Rechts hinreichend klar, präzise und unmissverständlich ergibt, dass die fragliche Verarbeitung biometrischer und genetischer Daten in den Anwendungsbereich dieser Richtlinie und nicht in den dieser Verordnung fällt.

2. Art. 6 Buchst. a der Richtlinie 2016/680 sowie Art. 47 und 48 der Charta der Grundrechte der Europäischen Union

sind dahin auszulegen, dass

sie nationalen Rechtsvorschriften nicht entgegenstehen, die vorsehen, dass das zuständige Strafgericht im Fall der Weigerung einer Person, die einer vorsätzlichen Offizialstraftat beschuldigt wird, freiwillig an der Erhebung der sie betreffenden biometrischen und genetischen Daten für die Zwecke ihrer Registrierung mitzuwirken, verpflichtet ist, eine Maßnahme der zwangsweisen Durchführung dieser Erhebung zu bewilligen, ohne befugt zu sein, zu beurteilen, ob ein begründeter Verdacht besteht, dass die betreffende Person die Straftat, derer sie beschuldigt wird, begangen hat, sofern das nationale Recht später eine wirksame gerichtliche Kontrolle der Voraussetzungen dieser Beschuldigung, aus denen sich die Bewilligung zur Erhebung dieser Daten ergibt, gewährleistet.

3. Art. 10 der Richtlinie 2016/680 in Verbindung mit Art. 4 Abs. 1 Buchst. a bis c sowie mit Art. 8 Abs. 1 und 2 dieser Richtlinie

ist dahin auszulegen, dass

er nationalen Rechtsvorschriften entgegensteht, die die systematische Erhebung biometrischer und genetischer Daten aller Personen, die einer vorsätzlichen Offizialstraftat beschuldigt werden, für die Zwecke ihrer Registrierung vorsehen, ohne die Verpflichtung der zuständigen Behörde vorzusehen, zum einen zu überprüfen und nachzuweisen, ob bzw. dass diese Erhebung für die Erreichung der konkret verfolgten Ziele unbedingt erforderlich ist, und zum anderen, ob bzw. dass diese Ziele nicht durch Maßnahmen erreicht werden können, die einen weniger schwerwiegenden Eingriff in die Rechte und Freiheiten der betroffenen Person darstellen.

Den Volltext der Entscheidung finden Sie hier:


ArbG Berlin: Arbeitszeiterfassung mittels Fingerprint nicht erforderlich gemäß § 26 Abs. 1 BDSG und nur mit Einwilligung des Betroffenen zulässig

ArbG Berlin
Urteil vom 16.10.2019
29 Ca 5451/19


Das ArbG Berlin hat entschieden, dass die Arbeitszeiterfassung mittels Fingerprint nicht erforderlich gemäß § 26 Abs. 1 BDSG ist und daher nur mit Einwilligung des Betroffenen zulässig ist.

Aus den Entscheidungsgründen:

"Die Abmahnung vom 05. Oktober 2018 sowie die Abmahnung vom 26. März 2019 wegen Nichtbenutzung des Zeiterfassungssystems ZEUS sind aus der Personalakte des Klägers zu entfernen.

Arbeitnehmer können in entsprechender Anwendung von §§ 242, 1004 Abs. 1 Satz 1 BGB die Entfernung einer zu Unrecht erteilten Abmahnung aus ihrer Personalakte verlangen. Der Anspruch besteht, wenn die Abmahnung inhaltlich unbestimmt ist, unrichtige Tatsachenbehauptungen enthält, auf einer unzutreffenden rechtlichen Bewertung des Verhaltens des Arbeitnehmers beruht oder den Grundsatz der Verhältnismäßigkeit verletzt (ständige Rechtsprechung des BAG, hier nur herausgreifend Urteil vom 20. Januar 2015, 9 AZR 860/13, juris).

Diese Voraussetzungen liegen im Streitfall vor. Der Kläger ist nicht verpflichtet, das Zeiterfassungssystem ZEUS zu nutzen.

Erfolgte die Zeiterfassung früher üblicherweise analog mittels Stechuhr, ist heute eine digitale Zeiterfassung, zum Beispiel über softwarebasierte oder webbasierte Zeiterfassungssysteme, teilweise auch per Smartphone oder Tablet, die Regel. Relativ neu ist die digitale Zeiterfassung mittels Fingerprint. Diese Form der Arbeitszeiterfassung soll unter anderem verhindern, dass Mitarbeiter für Kollegen „mitstempeln“ und hierdurch Arbeitszeitbetrug begehen.

Bei der Zeiterfassung mittels Fingerprint meldet sich der Mitarbeiter durch Abgleich seines Fingerabdrucks mit den im Zeiterfassungsterminal gespeicherten Daten im Zeiterfassungsprogramm an und ab. Hierfür werden aus dem Fingerabdruck des Mitarbeiters zunächst sogenannte Minutien (individuelle, nicht vererbbare Fingerlinienverzweigungen) mittels eines speziellen Algorithmus extrahiert. Der Minutiendatensatz wird sodann im Zeiterfassungsterminal gespeichert und zum Abgleich des Fingerabdrucks des Mitarbeiters bei der An- und Abmeldung verwendet. Nicht gespeichert wird grundsätzlich der Fingerabdruck des Mitarbeiters. Aus dem gespeicherten Minutiendatensatz kann der Fingerabdruck des Mitarbeiters auch nicht wieder generiert werden.

Datenschutzrechtlich handelt es sich bei dem Minutiendatensatz um biometrische Daten nach Artikel 9 Abs. 1 DSGVO und besondere Kategorien personenbezogener Daten im Sinne von § 26 Abs. 3 BDSG. Diesen Daten ist eigen, dass eine Verarbeitung die Privatsphäre des Mitarbeiters und damit das Recht auf informationelle Selbstbestimmung im besonderen Maße verletzen kann. Die Verarbeitung von biometrischen Daten – und somit auch von Minutiendatensätzen – ist daher nach Artikel 9 Abs. 1 GSGVO grundsätzlich verboten. Allerdings enthält Artikel 9 Abs. 2 GSGVO mehrere Erlaubnistatbestände, bei deren Vorliegen eine Verarbeitung (ausnahmsweise) doch zulässig ist. Arbeitsrechtlich relevant sind insbesondere die Erlaubnistatbestände „Erforderlichkeit“, „Freiwillige Einwilligung“ und „Kollektivvereinbarung“.

Eine Einwilligung und eine Kollektivvereinbarung liegen hier nicht vor.

Folglich ist zu prüfen, ob die Verarbeitung der biometrischen Daten im Rahmen der Zwecke der Beschäftigungsverhältnisses im Sinne des § 26 Abs. 1 BDSG erforderlich ist, damit der Verantwortliche (Arbeitgeber) den ihm „aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes“ erwachsenden Rechte und Pflichten nachkommen kann. Es darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person (des Beschäftigten) an dem Ausschluss der Verarbeitung überwiegt. Biometrische Merkmale eines Beschäftigten darf der Arbeitgeber nach § 26 Abs. 3 BDSG somit nur dann verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Die Erhebung und Verwendung von biometrischen Merkmalen muss im Rahmen der dreistufigen Prüfung folgende Voraussetzungen erfüllen:

1. Das biometrische Verfahren muss für die Zwecke des Beschäftigungsverhältnisses geeignet sein, das heißt, der jeweils auf das Beschäftigungsverhältnis bezogene Zweck muss tatsächlich gefördert werden können.

2. Es darf kein anderes, gleich wirksames, das Persönlichkeitsrecht weniger beeinträchtigendes Mittel existieren.

3. Als Ergebnis einer umfassenden Abwägung der schutzwürdigen Interessen und Grundrechte des Arbeitnehmers und des Arbeitgebers muss die Beeinträchtigung des Persönlichkeitsrechts des Beschäftigten durch das Biometrische Verfahren in einem angemessenen Verhältnis zu dem angestrebten Zweck der Datenverwendung stehen (Weth/Herberger/Wächter/Sorge-Kramer B XI. Rn.-Nr. 9f mit weiteren Nachweisen).

Dabei gilt folgende Regel: Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangs-sicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden (Gola / Heckmann, 13. Auflage 2019, Rn.-Nr. 157 zu § 26 BDSG).

Vorliegend stellt sich die Frage, ob die Arbeitszeiterfassung durch Fingerprint wirklich erforderlich ist. Dabei ist zu berücksichtigen, dass dadurch die Grundrechte und Grundfreiheiten der betroffenen Personen erheblich beeinträchtigt werden. Wenn auch vereinzelt Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder im Falle einer Stempelkarte durch „mitstempeln“ durch Kollegen auftreten mögen, so ist dennoch in der Regel davon auszugehen, dass sich die weit überwiegende Mehrheit der Arbeitnehmer rechtstreu verhält, also für eine solche Art von Kontrollen keinerlei Anlass gegeben ist, es sei denn, dass konkrete Umstände im Einzelfall (Nachweise über Missbräuche in nicht unerheblichem Umfang) die Erforderlichkeit einer solchen Maßnahme begründen können.

Derartiges hat die Beklagte jedoch nicht vorgetragen. Sie hat weder vorgetragen, dass durch das bisherige „händische“ System der Zeiterfassung erheblicher Missbrauch betrieben worden ist, noch hat sie darlegen können, dass im Fall der Einführung eines anderen Zeiterfassungssystems (ohne die Speicherung biometrischer Daten) Missbrauch in erheblichem Umfang oder auch nur in nennenswertem Umfang zu befürchten ist. Es ist auch nicht dargetan, dass etwa der Kläger in der Vergangenheit durch Falschangaben betreffend seine Arbeitszeit negativ aufgefallen ist.

Nach alledem vermag die Kammer nicht festzustellen, dass vorliegend die Interessen der Beklagten das schutzwürdige Interesse des Klägers an dem Ausschluss der Verarbeitung überwiegen.

Daher sind diese Abmahnungen aus der Personalakte des Klägers zu entfernen."


Den Volltext der Entscheidung finden Sie hier: