Zum Hauptinhalt springen
Zeiterfassungsgesetz.de
Zeiterfassungsgesetz

Biometrische Zeiterfassung: Rechtliche Anforderungen

Biometrische Zeiterfassung mit Fingerabdruck oder Gesichtserkennung: DSGVO-Anforderungen, Einwilligung und rechtliche Grenzen. Was ist erlaubt?

6 Min. Lesezeit
Biometrisches Zeiterfassungsterminal mit Fingerabdruckscanner

Biometrische Zeiterfassung: Rechtliche Anforderungen

Fingerabdruck, Gesichtserkennung, Iris-Scan – biometrische Systeme versprechen sichere Zeiterfassung ohne Missbrauch. Aber sind sie rechtlich zulässig? Die DSGVO setzt hohe Hürden.

Das Wichtigste in Kürze

  • Biometrische Daten sind „besondere Kategorien" nach DSGVO (Art. 9)
  • Verarbeitung grundsätzlich verboten – nur mit Ausnahme erlaubt
  • Freiwillige Einwilligung im Arbeitsverhältnis problematisch
  • Alternative Erfassungsmethoden müssen angeboten werden
  • Datenschutz-Folgenabschätzung erforderlich

Rechtlicher Hinweis

Dieser Artikel dient ausschließlich der allgemeinen Information und stellt keine Rechtsberatung dar. Für verbindliche Auskünfte wenden Sie sich bitte an einen Fachanwalt für Arbeitsrecht.

Was sind biometrische Daten?

Definition

Art. 4 Nr. 14 DSGVO: Biometrische Daten sind personenbezogene Daten, die aus einer speziellen technischen Verarbeitung resultieren und die eindeutige Identifizierung einer natürlichen Person ermöglichen oder bestätigen.

Beispiele im Kontext Zeiterfassung

Typische Systeme:

  • Fingerabdruck-Scanner
  • Gesichtserkennung
  • Iris-/Netzhauterkennung
  • Handgeometrie
  • Venenmuster (Handflächenvenen)
  • Stimmerkennung

Warum besonders geschützt?

Sensibilität:

  • Unveränderbar (anders als Passwörter)
  • Einzigartig und identifizierend
  • Bei Missbrauch nicht zurücknehmbar
  • Hohe Überwachungspotenziale

DSGVO und biometrische Daten

Grundsätzliches Verbot

Art. 9 Abs. 1 DSGVO: Die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung ist grundsätzlich untersagt.

Ausnahmen (Art. 9 Abs. 2 DSGVO)

Relevante Ausnahmen für Arbeitgeber:

  1. Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a)
  2. Erforderlich für Arbeitsrecht (Art. 9 Abs. 2 lit. b)

Einwilligung im Arbeitsverhältnis

Das Problem: Einwilligung muss freiwillig sein. Im Arbeitsverhältnis besteht aber ein Abhängigkeitsverhältnis.

§ 26 Abs. 2 BDSG: Einwilligung ist freiwillig, wenn dem Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen.

Bei biometrischer Zeiterfassung: Welcher Vorteil hat der Beschäftigte? Meist nur der Arbeitgeber (Missbrauchsschutz).

Hinweis

Die Aufsichtsbehörden sind skeptisch: Einwilligung in biometrische Zeiterfassung wird oft als nicht freiwillig angesehen, wenn keine gleichwertige Alternative angeboten wird.

Rechtliche Anforderungen

Datenschutz-Folgenabschätzung

Art. 35 DSGVO: Bei voraussichtlich hohem Risiko ist eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen.

Biometrische Zeiterfassung:

  • Besondere Datenkategorien
  • Systematische Überwachung
  • Neue Technologie → DSFA erforderlich

Technische Maßnahmen

Minimierung:

  • Nur notwendige Merkmale erfassen
  • Templates statt Rohdaten speichern
  • Dezentrale Speicherung (auf Chip/Karte)

Sicherheit:

  • Verschlüsselung
  • Zugriffskontrolle
  • Protokollierung

Alternative Erfassungsmethoden

Empfehlung der Aufsichtsbehörden: Immer eine Alternative anbieten:

  • PIN-Eingabe
  • Chipkarte
  • App mit Passwort

Ohne Alternative: Einwilligung kaum als freiwillig anzusehen.

Fingerabdruck-Zeiterfassung

Technische Funktionsweise

Typischer Ablauf:

  1. Finger auflegen
  2. Sensor erfasst Minutien (Merkmale)
  3. Template wird erzeugt
  4. Vergleich mit gespeichertem Template
  5. Identifikation oder Verifikation

Template vs. Bild

Besserer Datenschutz:

  • Nur Template speichern (nicht das Bild)
  • Template ermöglicht keine Rekonstruktion
  • Weniger sensibel als Vollbild

Rechtliche Bewertung

Vorteile:

  • Keine vergessenen Karten
  • Kein Stellvertreter-Stempeln möglich
  • Schnelle Erfassung

Nachteile:

  • Sensible Daten
  • Hygienische Bedenken (Kontakt)
  • Funktioniert nicht bei allen (trockene Haut, Verletzungen)

Gesichtserkennung

Technische Funktionsweise

Ablauf:

  1. Kamera erfasst Gesicht
  2. Algorithmus extrahiert Merkmale
  3. Vergleich mit gespeichertem Profil
  4. Identifikation

Besondere Risiken

Aus Datenschutzsicht kritischer:

  • Erfassung ohne aktive Mitwirkung möglich
  • Überwachungspotenzial höher
  • Verknüpfung mit anderen Systemen denkbar

Rechtliche Bewertung

Noch kritischer als Fingerabdruck:

  • Höheres Überwachungspotenzial
  • Geringere Akzeptanz
  • Aufsichtsbehörden sehr skeptisch

Speicherung und Aufbewahrung

Wo speichern?

Dezentral (besser):

  • Auf Mitarbeiterkarte/Chip
  • Mitarbeiter hat Kontrolle
  • Verlust nur individuell

Zentral (kritischer):

  • In Datenbank des Arbeitgebers
  • Höheres Risiko bei Datenleck
  • Mehr Rechtfertigung nötig

Aufbewahrungsfristen

Grundsatz: Löschen, wenn nicht mehr erforderlich.

Bei Ausscheiden:

  • Template sofort löschen
  • Keine Aufbewahrung „für den Fall"

Technische Absicherung

Erforderlich:

  • Verschlüsselung der Templates
  • Zugriffskontrolle
  • Protokollierung aller Zugriffe
  • Regelmäßige Überprüfung

Betriebsrat und Mitbestimmung

Mitbestimmungsrecht

§ 87 Abs. 1 Nr. 6 BetrVG: Bei technischen Einrichtungen, die zur Überwachung geeignet sind.

Biometrische Zeiterfassung: Starkes Mitbestimmungsrecht des Betriebsrats.

Betriebsvereinbarung

Sollte regeln:

  • Art der biometrischen Erfassung
  • Alternative Methoden
  • Speicherort und -dauer
  • Zugriffberechtigungen
  • Auswertungsmöglichkeiten
  • Löschfristen

Ohne Betriebsrat

Individualvertraglich:

  • Ausdrückliche Einwilligung
  • Information über Verarbeitung
  • Alternative anbieten
  • Widerrufsrecht

Tipp

Eine Betriebsvereinbarung kann die Rechtsgrundlage für biometrische Zeiterfassung verbessern – aber auch sie muss DSGVO-konform sein und echte Alternativen vorsehen.

Urteile und Behördenpraxis

Arbeitsgericht Berlin (2019)

Entscheidung: Fingerabdruck-Zeiterfassung ohne Einwilligung und ohne Alternative unzulässig.

Begründung:

  • Biometrische Daten besonders geschützt
  • Keine Erforderlichkeit für Arbeitsverhältnis
  • Einwilligung nicht freiwillig ohne Alternative

Datenschutzaufsicht

Landesbeauftragte sind kritisch:

  • Fingerabdruck nur mit echter Alternative
  • Gesichtserkennung sehr restriktiv
  • Speicherung dezentral bevorzugt

Tendenz

Entwicklung:

  • Biometrische Zeiterfassung nicht generell verboten
  • Aber hohe Anforderungen
  • Alternativen praktisch unverzichtbar

Praktische Empfehlungen

Vor der Einführung prüfen

  1. Ist Biometrie wirklich nötig?

    • Geht es auch mit PIN + Karte?
    • Welches Problem soll gelöst werden?

  2. DSFA durchführen

    • Risiken dokumentieren
    • Maßnahmen festlegen

  3. Alternativen vorsehen

    • PIN-Eingabe
    • Chipkarte
    • Keine Nachteile für Alternative

  4. Betriebsrat einbinden

    • Frühzeitig informieren
    • Betriebsvereinbarung anstreben

  5. Technisch absichern

    • Template statt Vollbild
    • Verschlüsselung
    • Dezentrale Speicherung wenn möglich

Informationspflichten

Mitarbeiter informieren über:

  • Art der biometrischen Daten
  • Zweck der Verarbeitung
  • Speicherdauer
  • Empfänger der Daten
  • Rechte (Auskunft, Löschung, Widerruf)
  • Kontakt Datenschutzbeauftragter

Dokumentation

Schriftlich festhalten:

  • DSFA
  • Einwilligungen
  • Betriebsvereinbarung
  • Technische Maßnahmen
  • Löschkonzept

Alternativen zur Biometrie

Sicherere Alternativen

Zwei-Faktor-Authentifizierung:

  • Chipkarte + PIN
  • App + Passwort
  • Hohe Sicherheit ohne Biometrie

Moderne Chipkarten:

  • Schwer zu fälschen
  • Personalisiert
  • Bei Verlust sperrbar

Wann ist Biometrie sinnvoll?

Möglicherweise gerechtfertigt bei:

  • Höchstsicherheitsbereichen
  • Branchen mit hohem Missbrauchsrisiko
  • Wenn andere Methoden versagt haben

Aber immer mit:

  • Alternative für Mitarbeiter
  • Freiwilligkeit sicherstellen
  • DSFA und Dokumentation

Häufige Fragen zur biometrischen Zeiterfassung

Nur unter strengen Voraussetzungen: Eine Datenschutz-Folgenabschätzung muss durchgeführt werden, eine Alternative (z.B. PIN) muss angeboten werden, und eine echte freiwillige Einwilligung ist erforderlich. Ohne Alternative gilt die Einwilligung als nicht freiwillig.
Wenn eine Alternative angeboten wird, können Sie diese nutzen. Wenn keine Alternative existiert, ist die Einwilligung ohnehin fragwürdig. Sprechen Sie mit dem Betriebsrat oder dem Datenschutzbeauftragten, wenn Sie Bedenken haben.
Die biometrischen Daten (Templates) müssen bei Beendigung des Arbeitsverhältnisses gelöscht werden. Es gibt keinen Grund, sie aufzubewahren. Fragen Sie im Zweifel nach einer Bestätigung der Löschung.
Rechtlich noch kritischer als Fingerabdruck, da die Erfassung ohne aktive Mitwirkung möglich ist und das Überwachungspotenzial höher ist. Die Datenschutzaufsichtsbehörden sind hier sehr restriktiv. Alternative Erfassungsmethoden sind praktisch unverzichtbar.

Fazit

Biometrische Zeiterfassung ist nicht generell verboten, aber rechtlich anspruchsvoll. Die DSGVO verlangt eine Rechtfertigung für die Verarbeitung besonderer Datenkategorien. Eine freiwillige Einwilligung im Arbeitsverhältnis ist nur glaubhaft, wenn gleichwertige Alternativen angeboten werden. Arbeitgeber müssen eine Datenschutz-Folgenabschätzung durchführen, den Betriebsrat einbinden und technisch-organisatorische Maßnahmen umsetzen. In vielen Fällen ist die Frage: Braucht man Biometrie wirklich, oder reichen sichere Alternativen wie Chipkarte + PIN?

Sichere Zeiterfassung ohne Biometrie

MyTimeTracker bietet sichere Zeiterfassung ohne biometrische Daten: App, Terminal, Web – mit sicherer Authentifizierung und DSGVO-Konformität.

  • DSGVO-konform
  • Keine biometrischen Daten
  • Sichere Authentifizierung
Kostenlos testen

Zeiterfassung starten

14 Tage kostenlos testen

Kostenlos testen

Weiterlesen

Zeiterfassungsgesetz

Datenschutz bei der Zeiterfassung: DSGVO-Anforderungen

Zeiterfassung und Datenschutz: DSGVO-Anforderungen verstehen und umsetzen. Mit Checkliste für datenschutzkonforme Zeiterfassung.

Artikel lesen

Zeiterfassungsgesetz

GPS-Tracking zur Zeiterfassung: Ist das erlaubt?

GPS-Tracking von Mitarbeitern: Wann ist Ortung zur Zeiterfassung erlaubt? Datenschutzrechtliche Grenzen erklärt.

Artikel lesen

Zeiterfassung

Digitale Stempeluhr für Unternehmen: Moderne Lösungen

Digitale Stempeluhr für Unternehmen: Von der App bis zum Terminal. Welche Lösung passt zu Ihrem Betrieb?

Artikel lesen

Zeiterfassung einfach & gesetzeskonform

Starten Sie jetzt mit MyTimeTracker und erfüllen Sie alle gesetzlichen Anforderungen. 14 Tage kostenlos testen, keine Kreditkarte erforderlich.

  • Sofort einsatzbereit
  • DSGVO-konform
  • Keine Einrichtung nötig
Kostenlos testen