Die DSGVO (Datenschutz-Grundverordnung) ist seit 2018 in Kraft, was nicht folgenlos blieb. Viele Organisationen kämpfen immer noch mit der Ausführung. Die DSGVO hat auch Auswirkungen auf unser eigenes Fachgebiet, die biometrische Zutrittskontrolle.
Das Gericht entschied in diesem Fall, dass die Schuhgeschäftskette von den Mitarbeitenden nicht hätte verlangen dürfen, dass sie ihre Fingerabdrücke für den biometrischen Zugang zum Kassensystem hinterlassen. Manfields Fall wirft die Frage auf: Was ist laut DSGVO eigentlich erlaubt und was nicht? In diesem Artikel skizzieren wir den rechtlichen Rahmen, den Organisationen, die biometrische Zutrittskontrollen verwenden oder in Betracht ziehen, berücksichtigen sollten.
Berücksichtigung der DSGVO (AVG in NL) und der UAVG (Durchführungsverordnung der AVG)
Die DSGVO ist mittlerweile eine bekannte Abkürzung. Es ist die Umsetzung der GDPR, der europäischen Verordnung zum Schutz personenbezogener Daten. Etwas weniger bekannt, aber sicherlich nicht weniger relevant, wenn wir über biometrische Zutrittskontrolle und Datenschutz sprechen, ist die Durchführungsverordnung (UAVG in den Niederlanden).
Wenn die DSGVO Raum für nationale Entscheidungen lässt, werden diese gegebenenfalls in die UAVG aufgenommen. Die Verwendung der biometrischen Zutrittskontrolle wird in der DSGVO, die für alle europäischen Mitgliedstaaten gilt, nicht erörtert. Die UAVG, die ausschließlich in den Niederlanden gilt, geht jedoch auf diesen Punkt ein.
DSGVO: Verarbeitung biometrischer Daten nur mit ausdrücklicher Einwilligung und Wahlfreiheit
Die DSGVO verbietet die Verwendung biometrischer Daten (Artikel 9 Absatz 1) „…es sei denn, die betroffene Person hat der Verarbeitung dieser personenbezogenen Daten für einen oder mehrere bestimmte Zwecke ausdrücklich zugestimmt…“
Nur wenn eine Person ihre ausdrückliche Erlaubnis erteilt, dürfen ihre biometrischen Daten verarbeitet werden. Und bitte beachten: Es muss außerdem Wahlfreiheit herrschen. Als Organisation müssen Sie daher auch immer eine andere Methode zur Identifizierung der betreffenden Person anbieten. Mehr erfahren? Nehmen Sie Kontakt mit uns auf.
Biometrie für Mitarbeitende: nur wenn es nötig und verhältnismäßig ist
Wenn es um Mitarbeitende geht, stellt das Gesetz noch strengere Anforderungen an die Verarbeitung biometrischer Daten. Dies ist auf das Autoritätsverhältnis zwischen Arbeitgeber und Arbeitnehmer zurückzuführen. Denn nicht jeder sagt leicht „Nein“ zu seinem Arbeitgeber, vor allem, wenn dies Konsequenzen haben kann. Die Verarbeitung biometrischer Daten von Mitarbeitenden ist daher nur zulässig, wenn diese für die Authentifizierung oder die Sicherheit erforderlich sind.
Konkret wird das Thema Biometrie in Art. 29 UAVG wie folgt aus der DSGVO übernommen: „Im Hinblick auf Artikel 9 Absatz 2, Buchstabe g der Verordnung gilt das Verbot der Verarbeitung biometrischer Daten zum Zwecke der eindeutigen Identifizierung einer Person nicht, wenn die Verarbeitung für Authentifizierungs- oder Sicherheitszwecke erforderlich ist.“
Das Gesetz schreibt auch vor, dass eine Bewertung erforderlich ist, um festzustellen, ob biometrische Daten notwendig und verhältnismäßig sind und ob sie in einem angemessenen Verhältnis zur Verletzung der Privatsphäre stehen. Im Rahmen dieser Bewertung ist eine sogenannte Datenschutz-Folgenabschätzung (DSFA) obligatorisch.
Datenschutz-Folgenabschätzung (DSFA)
Möchten Sie die biometrische Zutrittskontrolle nutzen? Dann müssen Sie im Vorfeld immer eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Dies ist ein Tool, mit dem Unternehmen die Datenschutzrisiken, die mit der Verarbeitung biometrischer Daten verbunden sind, identifizieren können. Darüber hinaus kann die DSFA Maßnahmen zur Begrenzung dieser Risiken enthalten.
Die DSFA muss in jedem Fall folgende Informationen enthalten:
- Systematische Beschreibung der Datenverarbeitung
- Zweck der Verarbeitung
- Beurteilung der Notwendigkeit der Verarbeitung, im Verhältnis zur Verletzung der Privatsphäre
- Beschreibung der Datenschutzrisiken
- Maßnahmen zur Minderung dieser Risiken
DSFA: Wo fängt man an?
Viele Punkte der DSFA beziehen sich auf die Funktionsweise des biometrischen Produkts, das Sie verwenden möchten. Daher ist der Lieferant Ihres Systems ein logischer Ausgangspunkt. Für unsere eigenen Systeme haben wir in jedem Fall alle relevanten Informationen genau abgebildet.
Interessante Option: biometrische Zutrittskontrolle ohne Verarbeitung in einer Datenbank
Viele Datenschutzbedenken im Zusammenhang mit der biometrischen Zutrittskontrolle ergeben sich aus der Verarbeitung personenbezogener Daten in einer Datenbank. Denn was ist, wenn Unbefugte Zugriff auf eine solche Datenbank erhalten? Vor diesem Hintergrund ist es gut zu wissen, dass es heute auch Lösungen gibt, bei denen die biometrischen Daten einer Person nicht in einer Datenbank gespeichert und verarbeitet werden, sondern auf einer Karte gespeichert sind.
Im Übrigen gilt für derartige Lösungen außerdem, dass das eine System nicht mit dem anderen vergleichbar ist, etwa wenn es um die verwendete Verschlüsselungstechnik geht. Welche Lösungen Sie auch immer vergleichen, schauen Sie sich diese immer durch eine (UAVG) DSGVO-Brille an. Nur so kann sichergestellt werden, dass sowohl die biometrische Zutrittskontrolle als auch die Privatsphäre Ihrer Mitarbeitenden ordnungsgemäß gewährleistet werden kann. Wie gesetzlich vorgeschrieben.
Möchten Sie mehr erfahren oder suchen Sie eine biometrische Sicherheitslösung für Ihr Unternehmen?