Was sind biometrische Daten genau?

Biometrische Daten sind physische, physiologische oder verhaltensbasierte Merkmale, mit denen eine Person eindeutig identifiziert werden kann. Fingerabdruecke, Gesichtserkennung, Iris-Scans und Stimmerkennung sind alles biometrische Daten.

Darf ich Fingerabdruck-Scans verwenden, wenn alle Mitarbeiter zustimmen?

Theoretisch kann die Einwilligung eine Rechtsgrundlage sein, aber im Arbeitsverhaeltnis ist sie aufgrund des Machtungleichgewichts selten 'freiwillig erteilt'. Aufsichtsbehoerden akzeptieren die Einwilligung im Arbeitskontext daher selten als gueltige Grundlage fuer biometrische Verarbeitung.

Gibt es Situationen, in denen biometrische Zeiterfassung erlaubt ist?

In sehr spezifischen Situationen, wie bei Hochsicherheitsumgebungen oder gesetzlichen Anforderungen, kann es gerechtfertigt sein. Fuer gewoehnliche Zeiterfassung gibt es aber fast immer weniger eingreifende Alternativen. Eine DSFA ist in jedem Fall verpflichtend.

Fingerabdruck-Scans am Arbeitsplatz - Erlaubt die DSGVO das?

Immer mehr Unternehmen erwaegen biometrische Systeme zur Zeiterfassung. Aber Fingerabdruecke sind besondere personenbezogene Daten nach der DSGVO. Ist es erlaubt, und wenn ja, unter welchen Bedingungen?

Biometrische Daten: die strengste Kategorie

Fingerabdruecke sind biometrische Daten. Nach der DSGVO fallen sie in die Kategorie der “besonderen Kategorien personenbezogener Daten”, zusammen mit Gesundheitsdaten, religioesen Ueberzeugungen und ethnischer Herkunft. Die Verarbeitung dieser Datenkategorie ist verboten, es sei denn, eine spezifische Ausnahme greift.

Damit ist die Huerdeenorm hoch, Fingerabdruck-Scans fuer etwas so Alltaegliches wie die Anwesenheitserfassung einzusetzen.

Warum die Einwilligung meistens nicht funktioniert

Die naheliegendste Ausnahme ist die “ausdrueckliche Einwilligung”. Doch im Arbeitsverhaeltnis ist die Einwilligung problematisch. Die DSGVO verlangt, dass die Einwilligung freiwillig erteilt wird - die betroffene Person muss ohne nachteilige Folgen ablehnen koennen.

Im Arbeitgeber-Arbeitnehmer-Verhaeltnis besteht diese Freiheit selten. Ein Mitarbeiter, der die Abgabe seines Fingerabdrucks verweigert, kann Konsequenzen fuer seine Position befuerchten. Aufsichtsbehoerden in mehreren EU-Laendern haben entschieden, dass die Einwilligung im Arbeitskontext keine gueltige Grundlage fuer biometrische Verarbeitung darstellt.

Rechtsprechung

In den Niederlanden entschied das Amsterdamer Gericht 2019, dass ein Arbeitgeber ein Fingerabdruck-System zur Zeiterfassung nicht vorschreiben durfte. Das Gericht befand, dass weniger eingreifende Alternativen verfuegbar waren (Ausweise, PIN-Codes) und die biometrische Verarbeitung nicht verhaeltnismaessig war.

Dieses Urteil ist richtungsweisend: Wenn eine Alternative das gleiche Ziel ohne biometrische Daten erreicht, ist der Fingerabdruck-Scan nicht zulaessig.

Wann es erlaubt sein kann

Es gibt Situationen, in denen biometrische Zugangskontrolle gerechtfertigt sein kann:

Hochsicherheitsumgebungen - Rechenzentren, Labore, militaerische Einrichtungen
Gesetzliche Anforderungen - wenn Gesetze eine biometrische Identifikation vorschreiben
Wesentliche Sicherheit - wenn keine Alternative ein vergleichbares Sicherheitsniveau bietet

Auch in diesen Faellen ist eine Datenschutz-Folgenabschaetzung (DSFA) verpflichtend, und Sie muessen nachweisen, dass die Verarbeitung notwendig und verhaeltnismaessig ist.

Alternativen, die funktionieren

Fuer die grosse Mehrheit der Unternehmen gibt es ausreichende Alternativen:

Ausweise oder Zutrittskarten - einfach, guenstig und datenschutzfreundlich
PIN-Codes - keine biometrischen Daten erforderlich
Digitale Zeiterfassungssysteme - Anmeldung ueber eine App oder einen Computer
Kombinationen - Ausweis plus PIN-Code fuer zusaetzliche Sicherheit

Diese Alternativen erreichen dasselbe Ziel ohne die rechtlichen Risiken der biometrischen Verarbeitung.

Was tun, wenn Sie bereits ein Fingerabdruck-System nutzen?

Wenn Sie bereits ein biometrisches System zur Zeiterfassung verwenden, pruefen Sie, ob Sie ueber eine gueltige Rechtsgrundlage verfuegen. Falls nicht, wechseln Sie zu einer Alternative. Loeschen Sie die gespeicherten biometrischen Daten und dokumentieren Sie die Aenderung.

auto_awesome Dokumentieren Sie Ihre Verarbeitungen korrekt

GDPRWise hilft Ihnen, alle Verarbeitungstaetigkeiten zu dokumentieren, einschliesslich der Rechtsgrundlage und einer Bewertung der Notwendigkeit.

Starten Sie Ihren kostenlosen Scan