Im Anschluss an die Datenschutz-Grundverordnung (GDPR) hat die dänische Datenschutzbehörde eine "indikative Stellungnahme" zur Verwendung von Fingerabdrücken für die Zeiterfassung abgegeben. Der Kern der Stellungnahme lautet: Die Zeiterfassung allein durch Fingerabdrücke ist nicht zulässig.
Im Jahr 2017 wandte sich TimePlan Software A/S an die dänische Datenschutzbehörde mit der Bitte um Klärung der Rechtmäßigkeit der Verwendung von Fingerabdrücken (und damit biometrischen Daten) zur Erfassung von An- und Abwesenheitsdaten in TimePlan. Eine Reihe von TimePlan-Kunden verwenden das Einscannen der Fingerabdrücke der Mitarbeiter als Methode zur Erfassung der Arbeitszeiten.
In der Antwort der dänischen Datenschutzbehörde heißt es, dass es sich bei biometrischen Daten um "sensible personenbezogene Daten" im Sinne von Artikel 9 handelt. Der Ausgangspunkt ist also ein Verbot, diese Daten zu haben, es sei denn, die gesetzliche Anforderung ist stark genug und die Anwendung ist notwendig.
Die dänische Datenschutzbehörde stellt fest, dass der Wunsch nach einer ordnungsgemäßen Zeiterfassung nicht ausreicht, um biometrische Daten zu verwenden, da es auch andere, weniger einschneidende Methoden der Zeiterfassung geben kann. Das Risiko, durch Tippen zu betrügen, wird nicht als starkes rechtliches Erfordernis angesehen - weder für ein Unternehmen noch für den Arbeitnehmer.
Fingerabdrücke können möglicherweise für die Zeiterfassung verwendet werden, wenn andere Erfassungsmöglichkeiten vorhanden und praktikabel sind, z. B. Zugangskarten- oder Kartennummerneingabe, und der Mitarbeiter eine freie Wahl hat. Die Wahl muss eindeutig freiwillig sein - und bei der Verwendung biometrischer Daten muss eine klare freiwillige Zustimmung des Mitarbeiters vorliegen.
Die dänische Datenschutzbehörde stellt fest: "Die Datenschutzbehörde ist der Meinung, dass die Einwilligung eines Arbeitnehmers in die Verarbeitung von Informationen über seine Fingerabdrücke durch den Arbeitgeber im Zusammenhang mit der Zeitkontrolle nicht als freiwillig angesehen werden kann. Wenn die Einwilligung nicht als freiwillig angesehen werden kann, kann sie keine gültige Grundlage für die Behandlung darstellen. Die Datenschutzbehörde kann jedoch nicht ausschließen, dass es besondere Umstände gibt, unter denen eine Einwilligung als freiwillig angesehen werden kann.
Verwenden Sie in Ihrem Unternehmen Fingerabdrücke für die Zeiterfassung? Dann müssen Sie die Stellungnahme der dänischen Datenschutzbehörde (in Dänisch) lesen, um die richtige Vorgehensweise zu gewährleisten und die erforderlichen Maßnahmen zu ergreifen. Wir empfehlen Ihnen auch, sich an die Datenschutzbehörde in Ihrem Land zu wenden.