Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Spezialfelder · Beschäftigtendatenschutz · DSGVO Art. 9, 6

Biometrie am Arbeitsplatz

Biometrische Daten gehören nach Art. 9 Abs. 1 DSGVO zu den besonderen Datenkategorien, wenn sie zur eindeutigen Identifizierung einer natürlichen Person verwendet werden. Im Arbeitsverhältnis ist die Hürde besonders hoch — die Einwilligung gilt regelmäßig als nicht freiwillig.

Was ist biometrische Verarbeitung?

  • Fingerabdruck zur Zeiterfassung oder zur Autorisierung.
  • Gesichtserkennung zur Anwesenheit oder zum Zutritt.
  • Iris-Scan, Venenmuster, Stimmprofil zur Identifikation.

Nicht in Art. 9: Hautfarbe, Haarfarbe oder bloße Beschreibungsmerkmale, die nicht zur eindeutigen Identifikation dienen.

Rechtsgrundlagen — die enge Auswahl

Verarbeitung besonderer Kategorien nach Art. 9 nur bei Vorliegen einer der Ausnahmen aus Art. 9 Abs. 2:

  • Lit. a — Einwilligung: im Arbeitsverhältnis sehr eingeschränkt; Freiwilligkeit oft nicht gegeben (Machtungleichgewicht).
  • Lit. b — Arbeitsrecht/Sozialrecht: meist nicht einschlägig.
  • Lit. f — Verteidigung von Rechtsansprüchen: nur reaktiv, nicht für reguläre Zeiterfassung.

BAG-Linie (Bundesarbeitsgericht, mehrere Urteile)

Das BAG hat 2019 (5 AZR 215/19) und Folgeurteile klargestellt: Biometrische Zeiterfassung mit Fingerabdruck-Scan ist regelmäßig unzulässig, wenn:

  • Mildere Mittel existieren (RFID-Karte, PIN, Tablet-Login) — und sie existieren fast immer.
  • Beschäftigtenwillen nicht echte Wahl bietet (Karte oder Finger? Wenn Karte verlangt unverhältnismäßigen Aufwand: keine echte Wahl).

Die Einwilligung im Arbeitsverhältnis (§ 26 Abs. 2 BDSG) gilt deshalb in den meisten biometrischen Fällen als nicht freiwillig.

Praktisch: wann (vielleicht) zulässig

  • Zugang zu Hochsicherheitsbereichen (Labor mit kritischen Datenbeständen, Tresor-/Kassentresor).
  • Ausschluss bestimmter Personen aus operativen Gründen (z.B. Apothekenbetäubungsmittelschrank).
  • Bedienung von gefährlichem Gerät, wo Verwechslung ausgeschlossen sein muss.

In all diesen Fällen ist eine DSFA Pflicht und die Verhältnismäßigkeit muss dokumentiert sein.

Mitbestimmung

Biometrische Systeme sind immer mitbestimmungspflichtig nach § 87 Abs. 1 Nr. 6 BetrVG (Überwachungseinrichtungen) und meist nach Nr. 1 (Verhalten/Leistung).

Was ein zulässiges System mindestens braucht

  • DSFA mit dokumentierter Verhältnismäßigkeitsprüfung.
  • Betriebsvereinbarung (falls Betriebsrat vorhanden).
  • Echte Wahlmöglichkeit: alternative gleichwertige Authentifizierung.
  • Templates statt Rohdaten: System speichert nur Hashes/Templates, nicht den Roh-Fingerabdruck.
  • Lokale Speicherung (auf der Karte des Mitarbeiters, nicht in einer Zentral-DB) wenn technisch möglich.
  • Zweckbindung: Auswertung nur für das Authentifizierungsziel, nicht für Anwesenheitsstatistiken.
  • Speicherdauer: nur solange Beschäftigungsverhältnis besteht; nach Austritt sofortige Löschung.
  • Schulung der bedienenden Personen.

Häufige Fehler

  • Einwilligungs-Formular als alleinige Grundlage, ohne Wahlmöglichkeit, ohne DSFA.
  • Fingerabdruck-Roher-Daten in einer zentralen DB gespeichert (statt Hash).
  • Mitbestimmung wurde nicht eingeholt — Betriebsrat erzwingt Stilllegung.
  • Werbung mit Bequemlichkeit statt Sicherheitsargument — schwächt die Rechtfertigungslinie.

Wenn wir DSB sind

Wir liefern eine DSFA-Vorlage für biometrische Systeme, prüfen die Hersteller-Architektur (Roh-Daten oder Template? Lokal oder zentral?), führen die Mitbestimmungsabstimmung mit dem Betriebsrat und liefern den schriftlichen Empfehlungs-Letter für die Geschäftsführung.

Quelle: FS/CS GmbH