Cybersicherheit und RisikomanagementDatenschutz

Biometrische Zeiterfassung: Warum der Fingerabdruck nicht ohne Einwilligung geht

Banner: Biometrische Zeiterfassung nur mit Einwilligung möglich
252x252_arthur_heydata_882dfef0fd_c07468184b.webp
Arthur
10.07.2025

Einleitung: Zeiterfassung wird smart – aber ist sie auch legal?

In der modernen Arbeitswelt gewinnt die Zeiterfassung zunehmend an Bedeutung. Unternehmen setzen vermehrt auf smarte Lösungen, um Arbeitszeiten effizient und genau zu erfassen. Biometrische Systeme, die beispielsweise Fingerabdrücke verwenden, bieten dabei hohe Genauigkeit und Sicherheit. Doch die Frage bleibt: Ist der Einsatz solcher Technologien auch rechtlich unbedenklich?

Diese Frage ist besonders relevant, da biometrische Daten, wie der Fingerabdruck, zu den sensibelsten personenbezogenen Daten zählen. Ihre Erfassung und Verarbeitung unterliegt strengen Datenschutzbestimmungen. In diesem Blogbeitrag beleuchten wir die rechtlichen Rahmenbedingungen und erklären, warum die Einwilligung der Mitarbeiter unerlässlich ist.

Inhaltsverzeichnis:

Die Vorteile der biometrischen Zeiterfassung

Biometrische Zeiterfassungssysteme bringen zahlreiche Vorteile mit sich:

  • Hohe Genauigkeit: Fehleranfällige manuelle Eingaben oder das „Kollegen-Stempeln“ entfallen.
  • Authentizität: Nur der berechtigte Mitarbeitende kann sich ein- und ausstempeln.
  • Komfort: Kein Mitführen von Karten, Chips oder Tokens nötig.
  • Effizienz: Der gesamte Prozess der Zeiterfassung wird beschleunigt.

Trotz dieser Vorteile ist entscheidend: Biometrie ist nicht nur ein Tool – sie ist ein tiefgreifender Eingriff in die Persönlichkeitsrechte. Unternehmen müssen sich bewusst sein, dass der Einsatz datenschutzrechtlich hochsensibel ist.

Warum die Einwilligung der Mitarbeiter unerlässlich ist

Die Erfassung des Fingerabdrucks ist gemäß Art. 9 Abs. 1 DSGVO grundsätzlich verboten – es sei denn, es liegt eine Ausnahme vor. In der Praxis kommt in der Regel nur Art. 9 Abs. 2 lit. a DSGVO in Betracht: die ausdrückliche Einwilligung der betroffenen Person.

Diese Einwilligung muss:

  • freiwillig erfolgen – ohne Druck oder Nachteile bei Verweigerung,
  • informiert sein – inkl. Zweck, Speicherdauer, Widerrufsrecht,
  • und jederzeit widerrufbar bleiben.

Das bedeutet: Unternehmen müssen eine echte Wahlmöglichkeit bieten – also alternative Zeiterfassungsverfahren bereitstellen. Andernfalls ist die Einwilligung nicht rechtswirksam.

Rechtliche Grundlagen und Datenschutz

Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der EU. Biometrische Daten werden darin als besondere Kategorie definiert (Art. 9 DSGVO), für deren Verarbeitung strenge Maßstäbe gelten.

Nur wenn die Datenverarbeitung entweder rechtlich notwendig ist (z. B. bei Zutrittskontrollen in Hochsicherheitsbereichen) oder auf einer freiwilligen Einwilligung basiert, darf sie erfolgen. Für die allgemeine Zeiterfassung im Büro oder im Lager gilt Biometrie nicht als erforderlich – und damit nur mit Einwilligung zulässig.

Zudem müssen Unternehmen bei Verwendung biometrischer Daten:

  • eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO durchführen,
  • technische und organisatorische Schutzmaßnahmen (z. B. Verschlüsselung) nachweisen,

und sämtliche Verarbeitungsschritte dokumentieren (Rechenschaftspflicht, Art. 5 Abs. 2 DSGVO).

Gerichtsurteile & Aufsichtsbehörden: Wo die Grenzen gezogen wurden

Mehrere Entscheidungen von Gerichten und Datenschutzbehörden haben die Rechtslage untermauert:

  • Das Arbeitsgericht Berlin urteilte (Az. 29 Ca 5451/19), dass die Zeiterfassung per Fingerabdruck nicht zulässig ist, wenn keine freiwillige Einwilligung vorliegt.
  • Die Datenschutzkonferenz (DSK) betont, dass die Einwilligung im Beschäftigungsverhältnis nur dann wirksam ist, wenn eine echte Alternative besteht und kein faktischer Zwang ausgeübt wird.

Diese Urteile zeigen: Der Einsatz biometrischer Zeiterfassung ohne Einwilligung ist klar unzulässig – unabhängig von technischen Vorkehrungen.

Mögliche Alternativen zur Fingerabdruckerfassung

Es gibt mehrere datenschutzfreundlichere Alternativen, um die Arbeitszeit sicher und nachvollziehbar zu erfassen:

  • RFID-Karten oder Chips mit Mitarbeiter-ID
  • Mobile Apps mit Geofencing (z. B. im Außendienst)
  • Terminals mit PIN-Eingabe
  • Digitale Stempeluhren mit Zugriffskontrollen

Auch diese Systeme müssen datenschutzkonform konfiguriert sein, bieten jedoch geringere Eingriffsintensität als biometrische Verfahren – und sind damit oft der rechtlich bessere Weg.

Best Practices für die Implementierung biometrischer Zeiterfassungssysteme

Wenn sich ein Unternehmen trotz allem für biometrische Systeme entscheidet, sollten folgende Best Practices eingehalten werden:

  1. Datenschutzfolgenabschätzung (DSFA) erstellen
  2. Freiwillige und dokumentierte Einwilligungen einholen
  3. Transparente Informationspflichten erfüllen (Art. 13 DSGVO)
  4. Alternativen zur Verfügung stellen – für alle, die nicht einwilligen wollen
  5. Technische Schutzmaßnahmen wie Verschlüsselung, Zugriffskontrollen und Löschkonzepte umsetzen
  6. Mitarbeitende regelmäßig schulen und sensibilisieren

Nur wenn all diese Punkte erfüllt sind, lässt sich der Einsatz biometrischer Systeme datenschutzrechtlich vertretbar gestalten.

Fazit: Biometrie nur mit Augenmaß und starker Absicherung

Biometrische Zeiterfassungssysteme bieten echte Vorteile – doch sie sind auch ein datenschutzrechtliches Hochrisiko Thema. Ohne ausdrückliche, freiwillige Einwilligung und klare Alternativen dürfen sie nicht eingesetzt werden.

Unternehmen, die den Einsatz in Betracht ziehen, sollten kritisch prüfen, ob der Mehrwert den Eingriff in die Grundrechte der Mitarbeitenden rechtfertigt – und ob nicht ein datensparenderer Ansatz die bessere Wahl wäre.

Denn eines ist klar: Vertrauen entsteht nicht durch Technologie allein – sondern durch Transparenz, Respekt und rechtlich sauberes Vorgehen.


 

Wichtiger Hinweis: Der Inhalt dieses Artikels dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar. Die hier bereitgestellten Informationen können eine individuelle Rechtsberatung durch (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt nicht ersetzen. Wir übernehmen keine Gewähr für die Aktualität, Vollständigkeit und Richtigkeit der bereitgestellten Informationen. Jegliche Handlungen, die auf Grundlage der in diesem Artikel enthaltenen Informationen vorgenommen werden, erfolgen auf eigenes Risiko. Wir empfehlen, bei rechtlichen Fragen oder Problemen stets (je nach Anwendungsfall) einen Datenschutzbeauftragten oder Rechtsanwalt zu konsultieren.