Gerade die Verarbeitung von besonderen Kategorien personenbezogener Daten kann für Unternehmen Tücken mit sich bringen, wie in einem Fall aus den Niederlanden zu lesen war (in: Ping 4.20, S. 154).
Ein Unternehmen nutzte die Fingerabdrücke der Beschäftigten für die Anwesenheits- und Zeiterfassung konnte sich hierfür aber auf keine der in Betracht kommenden Rechtsgrundlagen berufen.
Die Rechtsgrundlage muss sich aus Art. 9 Abs. 2 DSGVO ergeben. Ich Betracht gekommen wäre die (ausdrückliche) Einwilligung der Mitarbeiter / -innen , an die aber im Rahmen des Beschäftigungsverhältnisses hohe Anforderungen zu stellen ist. Damit die hierfür erforderliche Freiwillligkeit noch gegeben ist, muss der Arbeitnehmer die freie Wahl haben, der Datenverarbeitung seines Fingerabdurcks zuzustimmen oder nicht.
Wenn eine Einwilligung nicht in Betracht kommt, bleibt die Verwendung der Fingerabdrücke zur Authenifizierungszwecken. Voraussetzung ist, dass dies im Rahmen des Arbeits- oder Dienstvertrages gem. Art. 9 Abs. 2 lit. b) DSGVO notwendig ist. Nach dieser Regelung muss die Verarbeitung aber erforderlich sein, damit der Verantwortliche seine aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit oder des Sozialschutzes erwachsenden Rechte auszuüben oder Pflichten nachzukommen in der Lage ist. Die Arbeitszeiterfassung wird man in der Regel nicht damit rechtfertigen können.
Einfach machen kann also teuer werden. Da keine der Rechtsgrundlagen vorlag, wurde das Bußgeld in Höhe von 725.000 € verhängt.
Der Vollständigkeit halber sein noch erwähnt, dass für Deuschland zusätzlich die Voraussetzungen des § 26 BDSG zu beachten wären, der konkrete Anforderungen an eine Einwillgung und eine Konkretisierung zu Art. 9 Abs. 2 Abs. 2 lit b) DSGVO enthält. Zu besonderen Kategorien personenbezogener Daten sollten man sich auch mal § 24 Abs. 2 BDSG ansehen.
