Was sind biometrische Daten genau?

Biometrische Daten sind physische, physiologische oder verhaltensbasierte Merkmale, mit denen eine Person eindeutig identifiziert werden kann. Fingerabdrücke, Gesichtserkennung, Iris-Scans und Stimmerkennung sind alles biometrische Daten.

Darf ich Fingerabdruck-Scans verwenden, wenn alle Mitarbeiter zustimmen?

Theoretisch kann die Einwilligung eine Rechtsgrundlage sein, aber im Arbeitsverhältnis ist sie aufgrund des Machtungleichgewichts selten 'freiwillig erteilt'. Aufsichtsbehörden akzeptieren die Einwilligung im Arbeitskontext daher selten als gültige Grundlage für biometrische Verarbeitung.

Gibt es Situationen, in denen biometrische Zeiterfassung erlaubt ist?

In sehr spezifischen Situationen, wie bei Hochsicherheitsumgebungen oder gesetzlichen Anforderungen, kann es gerechtfertigt sein. Für gewöhnliche Zeiterfassung gibt es aber fast immer weniger eingreifende Alternativen. Eine DSFA ist in jedem Fall verpflichtend.

Fingerabdruck-Scans am Arbeitsplatz - Erlaubt die DSGVO das?

Immer mehr Unternehmen erwägen biometrische Systeme zur Zeiterfassung. Aber Fingerabdrücke sind besondere personenbezogene Daten nach der DSGVO. Ist es erlaubt, und wenn ja, unter welchen Bedingungen?

Biometrische Daten: die strengste Kategorie

Fingerabdrücke sind biometrische Daten. Nach der DSGVO fallen sie in die Kategorie der “besonderen Kategorien personenbezogener Daten”, zusammen mit Gesundheitsdaten, religiösen Überzeugungen und ethnischer Herkunft. Die Verarbeitung dieser Datenkategorie ist verboten, es sei denn, eine spezifische Ausnahme greift.

Damit ist die Hürdeenorm hoch, Fingerabdruck-Scans für etwas so Alltägliches wie die Anwesenheitserfassung einzusetzen.

Warum die Einwilligung meistens nicht funktioniert

Die naheliegendste Ausnahme ist die “ausdrückliche Einwilligung”. Doch im Arbeitsverhältnis ist die Einwilligung problematisch. Die DSGVO verlangt, dass die Einwilligung freiwillig erteilt wird - die betroffene Person muss ohne nachteilige Folgen ablehnen können.

Im Arbeitgeber-Arbeitnehmer-Verhältnis besteht diese Freiheit selten. Ein Mitarbeiter, der die Abgabe seines Fingerabdrucks verweigert, kann Konsequenzen für seine Position befürchten. Aufsichtsbehörden in mehreren EU-Ländern haben entschieden, dass die Einwilligung im Arbeitskontext keine gültige Grundlage für biometrische Verarbeitung darstellt.

Rechtsprechung

In den Niederlanden entschied das Amsterdamer Gericht 2019, dass ein Arbeitgeber ein Fingerabdruck-System zur Zeiterfassung nicht vorschreiben durfte. Das Gericht befand, dass weniger eingreifende Alternativen verfügbar waren (Ausweise, PIN-Codes) und die biometrische Verarbeitung nicht verhältnismäßig war.

Dieses Urteil ist richtungsweisend: Wenn eine Alternative das gleiche Ziel ohne biometrische Daten erreicht, ist der Fingerabdruck-Scan nicht zulässig.

Wann es erlaubt sein kann

Es gibt Situationen, in denen biometrische Zugangskontrolle gerechtfertigt sein kann:

Hochsicherheitsumgebungen - Rechenzentren, Labore, militärische Einrichtungen
Gesetzliche Anforderungen - wenn Gesetze eine biometrische Identifikation vorschreiben
Wesentliche Sicherheit - wenn keine Alternative ein vergleichbares Sicherheitsniveau bietet

Auch in diesen Fällen ist eine Datenschutz-Folgenabschätzung (DSFA) verpflichtend, und Sie müssen nachweisen, dass die Verarbeitung notwendig und verhältnismäßig ist.

Alternativen, die funktionieren

Für die große Mehrheit der Unternehmen gibt es ausreichende Alternativen:

Ausweise oder Zutrittskarten - einfach, günstig und datenschutzfreundlich
PIN-Codes - keine biometrischen Daten erforderlich
Digitale Zeiterfassungssysteme - Anmeldung über eine App oder einen Computer
Kombinationen - Ausweis plus PIN-Code für zusätzliche Sicherheit

Diese Alternativen erreichen dasselbe Ziel ohne die rechtlichen Risiken der biometrischen Verarbeitung.

Was tun, wenn Sie bereits ein Fingerabdruck-System nutzen?

Wenn Sie bereits ein biometrisches System zur Zeiterfassung verwenden, prüfen Sie, ob Sie über eine gültige Rechtsgrundlage verfügen. Falls nicht, wechseln Sie zu einer Alternative. Löschen Sie die gespeicherten biometrischen Daten und dokumentieren Sie die Änderung.

auto_awesome Dokumentieren Sie Ihre Verarbeitungen korrekt

GDPRWise hilft Ihnen, alle Verarbeitungstätigkeiten zu dokumentieren, einschließlich der Rechtsgrundlage und einer Bewertung der Notwendigkeit.

Starten Sie Ihren kostenlosen Scan