14
DSGVO und Zeiterfassung
Hallo zusammen,
nachdem unsere Firma von dem neuen Gerichtsurteil zur Zeiterfassung erfahren hat, müssen wir in ein Zeiterfassungssystem Geld "investieren". Dabei bleibt aber vieles sehr fraglich. Beispielsweise so ein Zeiterfassunssystem nutzt Fingerabdrücke anstatt einer herkömmlichen Karte, mit der man sich ein- und ausstempeln kann. Es ist ja klar, dass Firmen bestimmte personenbezogene Daten der Mitarbeiter, wie Name oder Steuernummer speichern müssen. Doch gehören Fingerabdrücke wirklich dazu? Kann sich ein Mitarbeiter dagegen wehren, seine Fingerabdrücke für die Zeiterfassung zu nutzen? Wie sieht das mit der DSGVO aus?
Danke für eure hilfreichen Antworten
Viele Grüße
nachdem unsere Firma von dem neuen Gerichtsurteil zur Zeiterfassung erfahren hat, müssen wir in ein Zeiterfassungssystem Geld "investieren". Dabei bleibt aber vieles sehr fraglich. Beispielsweise so ein Zeiterfassunssystem nutzt Fingerabdrücke anstatt einer herkömmlichen Karte, mit der man sich ein- und ausstempeln kann. Es ist ja klar, dass Firmen bestimmte personenbezogene Daten der Mitarbeiter, wie Name oder Steuernummer speichern müssen. Doch gehören Fingerabdrücke wirklich dazu? Kann sich ein Mitarbeiter dagegen wehren, seine Fingerabdrücke für die Zeiterfassung zu nutzen? Wie sieht das mit der DSGVO aus?
Danke für eure hilfreichen Antworten
Viele Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Kommentar vom Moderator Mitchell am Jun 18, 2019 um 19:46:07 Uhr
Link entfernt, geht auch ohne direkte Bestellung Herr SEO
Content-Key: 461782
Url: https://administrator.de/contentid/461782
Printed on: April 25, 2024 at 07:04 o'clock
14 Comments
Latest comment
Servus,
ich selbst nutze im privaten Hauseingang ebenfalls ein Gerät, das mir über den Fingerabdruck die Türe öffnet.
Festgestellt habe ich, dass ohne unregelmäßiges "Training", also erneutes Prüfen und Scannen der Fingerabdrücke, die Erkennungsqualität mit der Zeit nachlässt, was wohl mit geänderten Hautlinienverläufen zusammenhängen soll.
Wie gut die Qualität des angebotenen Fingerscanners ist, würde ich deshalb zunächst über eine Teststellung klären!
Edit:
z.B. https://www.arbeitsrecht-weltweit.de/2019/02/28/zeiterfassung-mittels-fi ...
Gruß
ich selbst nutze im privaten Hauseingang ebenfalls ein Gerät, das mir über den Fingerabdruck die Türe öffnet.
Festgestellt habe ich, dass ohne unregelmäßiges "Training", also erneutes Prüfen und Scannen der Fingerabdrücke, die Erkennungsqualität mit der Zeit nachlässt, was wohl mit geänderten Hautlinienverläufen zusammenhängen soll.
Wie gut die Qualität des angebotenen Fingerscanners ist, würde ich deshalb zunächst über eine Teststellung klären!
Edit:
z.B. https://www.arbeitsrecht-weltweit.de/2019/02/28/zeiterfassung-mittels-fi ...
Gruß
Hi
Also da gab es ein Bericht zu wo der Arbeitnehmer die Fingerabdrücke verweigern darf.
Solange ihr kein Sicherheitsunternehmen seit kann die Firma die nicht verlangen.
Alternativen mit Chipkarten ist da eher was ihr durchbekommt.
Zudem kommt man an Fingerabdrücke wenn eh seht Leicht da diese jeder Mitarbeiter unfreiwillig überall auch Hinterlässt....
Es kommt auch vor das Mitarbeiter sich am Finger Verletzten oder Farbreste (Maler/Lackierer) haben und dann nicht mehr erkannt werden...
Also da gab es ein Bericht zu wo der Arbeitnehmer die Fingerabdrücke verweigern darf.
Solange ihr kein Sicherheitsunternehmen seit kann die Firma die nicht verlangen.
Alternativen mit Chipkarten ist da eher was ihr durchbekommt.
Zudem kommt man an Fingerabdrücke wenn eh seht Leicht da diese jeder Mitarbeiter unfreiwillig überall auch Hinterlässt....
Es kommt auch vor das Mitarbeiter sich am Finger Verletzten oder Farbreste (Maler/Lackierer) haben und dann nicht mehr erkannt werden...
Erstmal kann natürlich jeder Mitarbeiter in die Nutzung des Fingerabdrucks einwilligen, die Chance das das passiert würde ich jetzt als sehr hoch einschätzen. Ihr müsst durch eure Technisch Organisatorischen Maßnahmen sicherstellen, das diese (möglciherweise sogar besonders schützenswerten) personenbezogenen Daten nicht abhanden kommen. Sprich, die Abdrücke sollten nicht auf dem Gerät liegen das am Empfang steht und dann abhanden kommt, das wäre ziemlich blöd.
Wenn jetzt ein Mitarbeiter wieder erwarten die Einwilligung verwehrt wäre es gut einen Alternative zu haben (idealerweise eine mit mehr Aufwand, sonst will das ja jeder). Rein hypothetisch: Nur wenn diese Möglichkeit nicht gegeben ist und ihr das technisch glaubwürdig erläutern könnt, könnte man sinnvoll argumentieren das die Erfassung erforderlich ist um die wesentlichen Bestandteile des Beschäftigungsverhältnis zu erfüllen. Das könnte, muss aber nicht, vor Gericht Stand halten.
Es ist, vor allem bei einer nachträglichen Einführung, wichtig, das eure Mitarbeiter dem System vertrauen (und dem Schutz ihrer Daten). Tun sie das, wird sich vermutlich keiner darüber beschweren und jeder gibt seine Einwilligung. Ein solches System kann aber i.d.R. auch mehr als nur ein Verfahren, z.B. Chipkarte als Alternative. Das soetwas technisch nicht gegeben ist und dem Arbeitgeber auch nicht zuzumuten ist halte ich für fast ausgeschlossen.
Wenn jetzt ein Mitarbeiter wieder erwarten die Einwilligung verwehrt wäre es gut einen Alternative zu haben (idealerweise eine mit mehr Aufwand, sonst will das ja jeder). Rein hypothetisch: Nur wenn diese Möglichkeit nicht gegeben ist und ihr das technisch glaubwürdig erläutern könnt, könnte man sinnvoll argumentieren das die Erfassung erforderlich ist um die wesentlichen Bestandteile des Beschäftigungsverhältnis zu erfüllen. Das könnte, muss aber nicht, vor Gericht Stand halten.
Es ist, vor allem bei einer nachträglichen Einführung, wichtig, das eure Mitarbeiter dem System vertrauen (und dem Schutz ihrer Daten). Tun sie das, wird sich vermutlich keiner darüber beschweren und jeder gibt seine Einwilligung. Ein solches System kann aber i.d.R. auch mehr als nur ein Verfahren, z.B. Chipkarte als Alternative. Das soetwas technisch nicht gegeben ist und dem Arbeitgeber auch nicht zuzumuten ist halte ich für fast ausgeschlossen.
Hi Stewy0310,
habt ihr einen Betriebsrat? Datenschutzbeauftragten?
Wenn nicht, mal was Grundsätzliches: Die EU-DSGVO ist ein Verbotsgesetz mit Erlaubnisvorbehalt. Um persönliche Daten (und da gehören ganz Sicher auch eure Fingerabdrücke dazu), bedarf es einer gesetzlichen Grundlage, einer Rechtsnorm (Betriebsvereinbarung, Arbeitsvertrag etc.) oder aber eurer Einwilligung...
Das bedeutet: wenn er NICHTS davon in der Hand hat, DARF er das garnicht erst einführen, geschweige denn irgendwelche Fingerabdrücke von euch nehmen. Der darf nicht mal einen Furz von euch erheben um es mal ganz klar zu sagen.
Habt ihr einen Betriebsrat, ist er bereits schon bei der Planung zu beteiligen... bzw. ab dem Zeitpunkt wo für deinen AG klar ist dieses System einführen zu wollen. Der Regelt das normalerweise weg.
Mach also folgendes - falls ihr keinen habt: Frag deinen Arbeitgeber auf welcher Rechtsgrundlage er das einführen möchte. Hat er die nicht, bleibt ihm nur, euch um eine Einwilligung zu bitten. Selbstverständlich könnt ihr dem Einwilligunsbegehren eures Arbeitgebers nicht folgen (ablehnen). Eine Einwilligung muß gewisse Standards erfüllen. Auserdem muß sie absolut freiwillig und jederzeit wiederrufbar sein. Der AG ist verpflichtet euch darüber zu Informieren was er mit euren Daten macht, wie er sie verarbeitet, wie lange er sie speichert und was dann passiert usw.
Da du als Arbeitnehmer gefühlt schwächer bist wie dein AG (schwächere Position) und er dich mächtig unter Druck setzen kann, muß umso klarer sein, das deine Einwilligung tatsächlich freiwillig ist und der AG keinen Druck auf dich ausgeübt hat.
Hält er sich nicht daran und führt er das ganze einfach ein und nimmt das in Betrieb... tja ... begeht er mind. mal ein Datenschutzvergehen . Ich würde sogar mal behaupten das es nicht mal ein einfaches Datenschutzvergehen ist, da er mit besonders sensiblen Daten von euch arbeiten will. Kann teuer für deine AG werden und rechtlich unangenehm, wenn man anschließend die richtigen Rechtlichen Wege einleitet ...
Gruß
ALT
habt ihr einen Betriebsrat? Datenschutzbeauftragten?
Wenn nicht, mal was Grundsätzliches: Die EU-DSGVO ist ein Verbotsgesetz mit Erlaubnisvorbehalt. Um persönliche Daten (und da gehören ganz Sicher auch eure Fingerabdrücke dazu), bedarf es einer gesetzlichen Grundlage, einer Rechtsnorm (Betriebsvereinbarung, Arbeitsvertrag etc.) oder aber eurer Einwilligung...
Das bedeutet: wenn er NICHTS davon in der Hand hat, DARF er das garnicht erst einführen, geschweige denn irgendwelche Fingerabdrücke von euch nehmen. Der darf nicht mal einen Furz von euch erheben um es mal ganz klar zu sagen.
Habt ihr einen Betriebsrat, ist er bereits schon bei der Planung zu beteiligen... bzw. ab dem Zeitpunkt wo für deinen AG klar ist dieses System einführen zu wollen. Der Regelt das normalerweise weg.
Mach also folgendes - falls ihr keinen habt: Frag deinen Arbeitgeber auf welcher Rechtsgrundlage er das einführen möchte. Hat er die nicht, bleibt ihm nur, euch um eine Einwilligung zu bitten. Selbstverständlich könnt ihr dem Einwilligunsbegehren eures Arbeitgebers nicht folgen (ablehnen). Eine Einwilligung muß gewisse Standards erfüllen. Auserdem muß sie absolut freiwillig und jederzeit wiederrufbar sein. Der AG ist verpflichtet euch darüber zu Informieren was er mit euren Daten macht, wie er sie verarbeitet, wie lange er sie speichert und was dann passiert usw.
Da du als Arbeitnehmer gefühlt schwächer bist wie dein AG (schwächere Position) und er dich mächtig unter Druck setzen kann, muß umso klarer sein, das deine Einwilligung tatsächlich freiwillig ist und der AG keinen Druck auf dich ausgeübt hat.
Hält er sich nicht daran und führt er das ganze einfach ein und nimmt das in Betrieb... tja ... begeht er mind. mal ein Datenschutzvergehen . Ich würde sogar mal behaupten das es nicht mal ein einfaches Datenschutzvergehen ist, da er mit besonders sensiblen Daten von euch arbeiten will. Kann teuer für deine AG werden und rechtlich unangenehm, wenn man anschließend die richtigen Rechtlichen Wege einleitet ...
Gruß
ALT
Die Fingerabdrücke werden vermutlich (oder hoffentlich), wie Passwörter, nicht reversibel verschlüsselt in einer Datenbank stehen... Wäre es damit nicht erledigt?
Das wäre einer der nächsten Prüfschritte, vor Einführung. Am Anfang steht die rechtliche Prüfung. Besteht ein berechtigtes Interesse des AG dieses System einzuführen? Auf welcher Grundlage? Abwegung des berechtigten Interesses, gegen die persönlichkeits Rechte des Mitarbeiters usw....
Wenn die Voraussetzungen nicht gegeben sind, braucht man sich keine Gedanken machen, wie Passwörter, Fingerabdrücke usw. gespeichert werden.
Wenn die Voraussetzungen nicht gegeben sind, braucht man sich keine Gedanken machen, wie Passwörter, Fingerabdrücke usw. gespeichert werden.
Kann man das so einfach definieren? "wie sie gespeichert werden"
Meine Gedanken waren: Wenn sie nicht reversibel als ein Hash Wert gespeichert sind, sind es keine Fingerabdrücke mehr.
Es wird also nur ein Wiedererkennungscode gespeichert. Persönliche Daten sind da keine mehr drinnen.
Meine Gedanken waren: Wenn sie nicht reversibel als ein Hash Wert gespeichert sind, sind es keine Fingerabdrücke mehr.
Es wird also nur ein Wiedererkennungscode gespeichert. Persönliche Daten sind da keine mehr drinnen.
Generell hat jeder MA die Möglichkeit zu verweigern den Fingerabdruck abzugeben.
Wir setzen mittlerweile auch ein System mit Fingerabdruck ein, welches als Alternative RFID Karten erlaubt. Somit kann jeder User der entweder den Abdruck nicht abgeben will oder bei dem der Fingerprint nicht funktioniert auf die karte ausweichen.
Beachte aber wie die Fingerabdrücke gespeichert werden. Wird ein Bild generiert oder nur Minutien gescannt von denen 3,4,5,6 Stück geprüft werden? Zusätzlich solltest du wissen das ein gewisser Prozentsatz der Menschen extreme Probleme beim Fingerprint haben.
Datenschutzrechtlich muss es vorab mit eurem DSB besprochen werden und wenn vorhanden der Betriebsrat.
Ansonsten.
Wir setzen mittlerweile auch ein System mit Fingerabdruck ein, welches als Alternative RFID Karten erlaubt. Somit kann jeder User der entweder den Abdruck nicht abgeben will oder bei dem der Fingerprint nicht funktioniert auf die karte ausweichen.
Beachte aber wie die Fingerabdrücke gespeichert werden. Wird ein Bild generiert oder nur Minutien gescannt von denen 3,4,5,6 Stück geprüft werden? Zusätzlich solltest du wissen das ein gewisser Prozentsatz der Menschen extreme Probleme beim Fingerprint haben.
Datenschutzrechtlich muss es vorab mit eurem DSB besprochen werden und wenn vorhanden der Betriebsrat.
Ansonsten.
Das mit dem Hashwert dürfte nicht gehen. Es sind ja biometrische Daten die jedesmal "gescannt", also digitalisiert werden. Die sind ja niemals exakt gleich, also ist auch ein Hashwert nie gleich. Ich muss schon einen biometrischen Vergleich zweier Abdrücke machen und dazu muss ich einen speichern.
Zitat von @ukulele-7:
Das mit dem Hashwert dürfte nicht gehen. Es sind ja biometrische Daten die jedesmal "gescannt", also digitalisiert werden. Die sind ja niemals exakt gleich, also ist auch ein Hashwert nie gleich. Ich muss schon einen biometrischen Vergleich zweier Abdrücke machen und dazu muss ich einen speichern.
Das mit dem Hashwert dürfte nicht gehen. Es sind ja biometrische Daten die jedesmal "gescannt", also digitalisiert werden. Die sind ja niemals exakt gleich, also ist auch ein Hashwert nie gleich. Ich muss schon einen biometrischen Vergleich zweier Abdrücke machen und dazu muss ich einen speichern.
Hashwert ist vielleicht der falsche Ausdruckt, da dieser mit einem kippenden Bit gleich ganz anders aussehen kann. Aber das Image selbst muss trotzdem nicht gespeichert werden. Es reichen Positionen, Winkel oder Abstände von markanten Stellen, mit denen man keinen Fingerabdruck mehr konstruieren kann. Das Image muss nur bei jedem Scan mit diesem algorhytmus neu umgewandelt werden und das fertig gewandelte mit der Datenbank vergleichen werden. Wenn sich die markanten Stellen in der Datenbank nur ein bisschen Unterscheiden, lässt sich das auch ohne Image vergleichen und identifizieren. Es ist aber nichts persönliches mehr, sondern nur ein paar Zahlen, mit denen niemand was anfangen kann.
Das wäre vermutlich möglich. Ob es sich dann noch um personenbeziehbare Daten handelt ist schwer zu sagen. Aber du wirst dennoch die Einwilligung der Nutzer brauchen denn: Du verarbeitest ja ihren Fingerabdruck, auch wenn du ihn nicht dauerhaft speicherst. Das auch mit jedem erneuten Scanvorgang, der Vorteil wäre also erst gegeben wenn dir die Daten abhanden kommen oder du sie (bzw. den "Hash") irgendwo bei einer anderen Stelle (z.B. Cloud) ablegen möchtest.
Moin,
ich bin über die bisherigen Beiträge etwas verwundert. Natürlich werden nicht die Fingerabdrücke selbst gespeichert. Diese Fingerabdruckscanner erkennen lediglich ein individuelles Muster welches abgespeichert wird. Daraus lässt sich aber kein Fingerabdruck ableiten.
Wer mal mit so einer Software gearbeitet hat konnte sicher sehen dass dort ein stilisierter Finger zu sehen war und eine bestimmte Anzahl an "Messpunkten" vorhanden sein muss damit das funktioniert. Im Prinzip also wie bei der Gesichtserkennung, da wird auch kein Foto in der Datenbank hinterlegt.
Letztlich sei angemerkt dass diese Fingerabdruckscanner oft nicht richtig funktionieren. Wenn der Kollege am Wochenende den fleissigen Handwerker gegeben hat kann es schon nicht mehr funktionieren. Ist die Haut zu feucht/zu trocken gibts auch gern Probleme.
Wir haben den Mist rausgeschmissen und nutzen jetzt ein ordentliches System von KABA (mittlerweile DORMAKABA).
Individuell erweiterbar und sehr zuverläsig. Da kann man bequem die Zeiterfassung mit Zutrittssystemen kombinieren.
Interessanter ist beim Datenschutz welche Daten werden dort hinterlegt, wer darf anlegen/ändern/einsehen etc.
Gruss vanTast
ich bin über die bisherigen Beiträge etwas verwundert. Natürlich werden nicht die Fingerabdrücke selbst gespeichert. Diese Fingerabdruckscanner erkennen lediglich ein individuelles Muster welches abgespeichert wird. Daraus lässt sich aber kein Fingerabdruck ableiten.
Wer mal mit so einer Software gearbeitet hat konnte sicher sehen dass dort ein stilisierter Finger zu sehen war und eine bestimmte Anzahl an "Messpunkten" vorhanden sein muss damit das funktioniert. Im Prinzip also wie bei der Gesichtserkennung, da wird auch kein Foto in der Datenbank hinterlegt.
Letztlich sei angemerkt dass diese Fingerabdruckscanner oft nicht richtig funktionieren. Wenn der Kollege am Wochenende den fleissigen Handwerker gegeben hat kann es schon nicht mehr funktionieren. Ist die Haut zu feucht/zu trocken gibts auch gern Probleme.
Wir haben den Mist rausgeschmissen und nutzen jetzt ein ordentliches System von KABA (mittlerweile DORMAKABA).
Individuell erweiterbar und sehr zuverläsig. Da kann man bequem die Zeiterfassung mit Zutrittssystemen kombinieren.
Interessanter ist beim Datenschutz welche Daten werden dort hinterlegt, wer darf anlegen/ändern/einsehen etc.
Gruss vanTast
Hallo,
grundsätzlich bleibt immer die Frage, ob Persönlichkeitsmerkmale (wie Fingerabdrücke) wirklich für eine Zeiterfassung notwendig sind, da es sich nicht um sicherheitsrelante Vorgänge handelt und Zeitbuchugnen mit der Erfassung über Transponder auch einfach und sicher ausgelöst werden können. Außerdem ist in der aktuellen Zeit einer Pandemie (Corona / COVID-19) auch der Hygieneaspekt nicht zu vernachlässigen.
Mit den Zeiterfassungslösungen von ELV (www.timemaster.de und www.elv-zeiterfassung.de) gibt es solche zuverlässigen und bewährten Transponder-Systeme, bei der über 17.000 Installationen für sich sprechen.
Für diejenigen, die jetzt aber sagen, dass ein Transponder einem anderen Mitarbeiter zur Stempelung von Buchungen übergeben werden kann, bleibt der Hinweis, dass dies natürklich möglich ist und damit aber auch ein Kündigungsgrund wegen Betrug geliefert wird. Es sollten sich somit Mitarbeiter tunlichst überlegen, solche Wege zu gehen.
Viele Grüße und bleibt gesund.
grundsätzlich bleibt immer die Frage, ob Persönlichkeitsmerkmale (wie Fingerabdrücke) wirklich für eine Zeiterfassung notwendig sind, da es sich nicht um sicherheitsrelante Vorgänge handelt und Zeitbuchugnen mit der Erfassung über Transponder auch einfach und sicher ausgelöst werden können. Außerdem ist in der aktuellen Zeit einer Pandemie (Corona / COVID-19) auch der Hygieneaspekt nicht zu vernachlässigen.
Mit den Zeiterfassungslösungen von ELV (www.timemaster.de und www.elv-zeiterfassung.de) gibt es solche zuverlässigen und bewährten Transponder-Systeme, bei der über 17.000 Installationen für sich sprechen.
Für diejenigen, die jetzt aber sagen, dass ein Transponder einem anderen Mitarbeiter zur Stempelung von Buchungen übergeben werden kann, bleibt der Hinweis, dass dies natürklich möglich ist und damit aber auch ein Kündigungsgrund wegen Betrug geliefert wird. Es sollten sich somit Mitarbeiter tunlichst überlegen, solche Wege zu gehen.
Viele Grüße und bleibt gesund.
