Nutzung biometrischer Daten im Rahmen des Beschäftigungsverhältnis.
Biometrische Verfahren nutzen, um eine Person zu identifizieren bzw. zu verifizieren, messbare und individuelle Merkmale. Biometrie bezeichnet somit die Wissenschaft zur Messung und Analyse biologischer Charakteristika.
Was sind die gängisten Verfahren?
- Fingerabdruckerkennung (Daktylogramm)
Hier wird die Oberflächenbeschaffenheit und die Kapillarleisten auf der Unterseite der Fingerkuppe untersucht. - Gesichtserkennung
Hier erfolgt eine Auswertung der charakteristischen Merkmale des Gesichts. - Augenerkennung (Iriserkennung)
Bei dieser Methode werden mit speziellen Kameras Bilder der Regenbogenhaut (Iris) des Auges aufgenommen. - Venenerkennung
Hierbei werden die Lage und die Verzweigung der Venen unter der Haut, z.B. der Handinnenfläche, ermittelt. Die Venenmuster sind sehr komplex und bleiben zeitlebens unverändert. Das Schutzniveau ist hier, wie auch bei der Iriserkennung, aufgrund dessen sehr hoch.
Biometrische Verfahren werden zur Kontrolle eines physischen Zutritts zu Räumen oder Gebäude verwendet. Hier kommen vor allem Fingerabdruck-, Gesichts- und Iriserkennung zum Einsatz. Sie werden aber auch zur Kontrolle des Zugangs zu Datenverarbeitungssystemen verwendet. Gang-und-gäbe ist das Szenario des Entsperren von Mobilfunkgeräten und Tabletts z.B. mit Hilfe der biometrischen Charakteristika Fingerabdruck.
Biometrische Daten aus Sicht des Datenschutzes
Art. 4 DS-GVO:
[…] 14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten; […]
Biometrische Systeme nutzen bestimmte individuelle Merkmale einer natürlichen Person zur Identifikation oder Authentifikation und stellen so eine enge Verknüpfung mit der betroffenen Person her.[1] Biometrische Daten sind folglich personenbezogene Daten (Art. 4 Nr. 1 DS-GVO), zumindest aber personenbeziehbare Daten, d.h. eine betroffene Person ist identifizierbar (bestimmbar). Die Erhebung, Speicherung und Verarbeitung (Umgang) ist verboten bzw. ist nur dann zulässig, wenn entweder eine gesetzliche Grundlage oder eine freiwillige und informierte Einwilligung der Betroffenen vorliegt (Art. 6 Abs. 1 DS-GVO).
Die Verarbeitung biometrischer Daten zur eindeutigen Identifikation einer natürlichen Person ist darüber hinaus nur unter Berücksichtigung der engen Grenzen des Art. 9 DS-GVO und § 22 BDSG möglich:
Artikel 9 der DS-GVO regelt die Verarbeitung besonderer Kategorien personenbezogener Daten („sensible Daten“):
(1) Die Verarbeitung personenbezogener Daten, aus denen […] hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten […]
22 BDSG regelt:
(1) Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderen Kategorien personenbezogener Daten im Sinne des Artikels 9 Absatz 1 der Verordnung (EU 2016/679 zulässig […]
Im Erwägungsgrund (ErwG) 51 S. 3 werden insbesondere unter dem Gesichtspunkt von Lichtbildern biometrische Daten aufgegriffen. Danach soll die Verarbeitung von Lichtbildern grundsätzlich nicht den Voraussetzungen der Verarbeitung nach Art. 9 DS-GVO unterfallen. Vielmehr sind diese lediglich dann als biometrische Daten und damit als besondere Kategorie personenbezogener Daten einzustufen, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. [2]
Fallbeispiel: Zugang zu Firmenräumen mit Hilfe des Fingerabdrucks [3]
Ein Unternehmen für Büromaterialversand mit ca. 50 Mitarbeiter:innen plant den Einsatz eines biometrischen Zugangssystems mittels Fingerabdruck. Die Firma hat kein sicherheitsrelevantes Tätigkeitsgebiet. Der beabsichtigte Zweck (Zugangskontrolle) könnte auch mit einer Chipkarte, einem PIN-Code oder einem Passwort sichergestellt werden.
Bei den verarbeiteten elektronischen Fingerabdrücken der Beschäftigten handelt es sich um daktyloskopische und damit um biometrische Daten im Sinne des Art. 4 Nr. 14 DS-GVO. Diese werden auch im Sinne des Art. 9 Abs. 1 DS-GVO zur eindeutigen Identifizierung der Mitarbeiter verarbeitet, da nur sie Zugang zu den Firmenräumen erhalten sollen. Als einzige Rechtsgrundlage für diese Verarbeitung kommt eine Einwilligung nach Art. 9 Abs. 2 lit. a DS-GVO in Betracht.
Um wirksam zu sein, muss die Einwilligung insbesondere freiwillig erfolgt sein. Nach Maßgabe des ErwG 43 ist eine Einwilligung dann nicht als freiwillig anzusehen, wenn ein klares Ungleichgewicht zwischen betroffener Person und dem Verantwortlichen der Datenverarbeitung besteht. Dies ist grundsätzlich im Rahmen von Arbeitsverhältnissen anzunehmen. Dennoch sind nach Ansicht des Europäischen Datenschutzausschusses auch im Rahmen von Arbeitsverhältnissen Situationen denkbar, in denen ein Arbeitgeber nachweisen kann, dass die Einwilligung in eine Verarbeitung freiwillig erfolgte, insbesondere dann, wenn die Verweigerung der Einwilligung keinerlei nachteilige Folgen für den Arbeitnehmer gehabt hätte.
Auch nach § 26 Abs. 2 BDSG kann eine Verarbeitung personenbezogener Daten von Beschäftigten grundsätzlich auf der Grundlage einer Einwilligung erfolgen. Allerdings sind bei der Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann danach insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Weder das eine noch das andere ist hier jedoch der Fall.
Eine wirksame Einwilligung in die Verarbeitung daktyloskopischer und damit biometrischer Daten scheidet jedenfalls dann aus, wenn nicht alternativ die Verwendung anderer Mittel der Zugangskontrolle, wie Chipkarte, PIN-Code oder Passwort, angeboten wird.
Für die Nutzung biometrischer Daten als Zugangskontrollen im Rahmen des Beschäftigungsverhältnisses, ist dies folglich nur möglich, wenn Beschäftigte dieser Art der Zugangskontrolle freiwillig zugestimmt haben. Es ist hier immer auf die Zweck- und Verhältnismäßigkeit zu achten. Den Zugang in einen Pausenraum durch z.B. einen elektronischen Fingerabdruck zu schützen ist nicht verhältnismäßig, für den Schutz der Entwicklungsabteilung, dagegen schon. Vor der Erhebung und der Verarbeitung biometrischer Daten ist daher immer zu prüfen, welche Interessen schwerer wiegen: Die schutzwürdigen Interessen von betroffenen Personen (z.B. Beschäftigten) oder die von Organisationen (z.B. Unternehmen).
Anmerkung
Neben der Zulässigkeit der Verarbeitung biometrischer Daten sind die Schutzmaßnahmen und Risiken für die biometrischen Daten zu überprüfen, d.h. es ist eine Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO durchzuführen. Dass die Verarbeitungen im Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DS-GVO) zu dokumentieren sind, ist selbstverständlich und sei hier nur der Vollständigkeit halber erwähnt.
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.
Seit 2007 Lösungen für professionellen und fachkundigen Datenschutz.
[1] Art.-29-Datenschutzgruppe WP 193 „Zu Entwicklungen im Bereich biometrischer Technologien“ v. 27.4.2014, S. 2.
[2] Vgl. HK DS-GVO/BDSG, (2020), Jaspers/Schwarzmann/Mühlenbeck, S. 344, Rn 75, C.F. Müller
[3] Vgl. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Positionspapier zur biometrischen Analyse, Version 1.0, Stand: 3. April 2019, S. 26