Ein Elektriker aus Neuseeland erhielt 23.200 Dollar Schadensersatz, nachdem er gefeuert wurde, weil er sich geweigert hatte, ein während seiner Abwesenheit durch seinen Arbeitgeber installiertes Gesichtserkennungssystem zu verwenden. Welche Regeln gelten eigentlich für biometrische Authentifizierungssysteme nach der DSGVO und dem BDSG?
Der Inhalt im Überblick
Authentifizierungen spielen überall eine Rolle
Jeder kennt es: Möchte man etwas haben oder tun, muss man dafür häufig seine Berechtigung nachweisen. Will man bestimmte Gebäude betreten oder auf Systeme zugreifen, muss daher dem Inhaber nachgewiesen werden, hierzu berechtigt zu sein. Der Inhaber, gegenüber dem sich der Nutzer authentisieren muss, kann häufig auch der Nutzer selbst sein (etwa beim Entsperren des eigenen Smartphones).
Der „Beweis“, dass man auch tatsächlich der „Berechtigte“ ist, kann auf verschiedene Arten erbracht werden: Durch Wissen, durch Besitz oder aber durch persönliche Merkmale, sogenannte biometrische Merkmale.
Geben wir ein Passwort oder PIN in ein Smartphone ein, welches nur der Berechtigte kennt, gibt sich der Nutzer mit Eingabe dieser Daten als Berechtigter aus. Er authentisiert sich durch Wissen.
Im Arbeitsleben gibt man sich häufig mit einem Transponder an der Eingangstür als Berechtigter zu erkennen. Hier erfolgt die Authentifizierung durch Besitz.
Wird der Fingerabdrucksensor oder „Face Unlock“ am Smartphone genutzt, erfolgt die Ausweisung als Berechtigter durch ein oder mehrere persönliche (meistens physiologische) Merkmale, sog. biometrische Merkmale. Biometrische Zutritts- und Zugangskontrollen sind zweifellos ein Massenphänomen geworden. Dies dürfte mit einem wesentlichen Vorteil gegenüber den Authentifizierungsverfahren „Wissen“ und „Besitz“ zusammenhängen: Biometrische Authentifizierungsinformationen lassen sich nicht so leicht weitergeben oder stehlen.
Biometrie am Arbeitsplatz
Ein Abstempeln für den Kollegen an der Stechuhr ist bei einem biometrischen Zugangssystem nicht ohne weiteres möglich, es sei denn, man hat zufällig den Finger seines Kollegen zur Hand oder seine Iris, Netzhaut, Gesicht, Handgeometrie, Ohrenform, Körpergeruch, Stimme, Schweißporen, Venenstruktur etc. – je nachdem, was vom System gefordert wird. Dies dürfte dann wohl eher selten der Fall sein.
Dieser Vorteil einer biometrischen Authentifizierung geht jedoch mit Nachteilen einher:
Die biometrische Authentisierung ist aus datenschutzrechtlicher Perspektive im Vergleich zu den anderen Authentifizierungsverfahren deutlich eingriffsintensiver, was unter anderem dadurch zum Ausdruck kommt, dass die DSGVO in Art. 9 die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung einer natürlichen Person zu den besonderen Datenkategorie zählt, womit biometrische Daten rechtlich denselben Schutz genießen wie die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit usw.
Über die eigentliche Verwendung zur Authentifizierung hinaus können biometrische Daten nämlich zweckfremd wiederverwendet und mit anderen Daten verknüpft werden. Sind die biometrischen Daten einmal im Umlauf, kann dies für den Betroffenen verheerende Folgen haben – Identitätsdiebstahl ist nur eine davon. Es besteht das grundsätzliche Problem, dass biometrische Daten in der Regel nicht ersetzbar sind. Gerät eine Zugangs-Pin unerlaubt in Umlauf, lässt sich schnell ein neuer Pin einrichten. Gerät ein digital abgespeicherter Fingerabdruck in Umlauf, hätte man nur noch 9 andere. Bei einer Gesichtserkennung wird ein Friseur-Besuch keinen „Reset“ darstellen.
Aufgrund dieser beispielhaften Risiken und der Einordnung unter Art. 9 DSGVO unterliegen biometrisches Authentifizierungssysteme datenschutzrechtlich strengerer Anforderungen als vergleichbare Systeme, die auf „Wissen“ und „Besitz“ basieren.
Datenschutzrechtliche Voraussetzungen im Einzelnen
Einwilligungen und Kollektivvereinbarungen
Biometrische Daten zur Authentifizierung zählen zu den besonderen Kategorien personenbezogener Daten gem. Art. 9 Abs.1 DSGVO. Die Verarbeitung dieser „sensitiver Daten“ im Beschäftigungsverhältnis wird nur unter den zusätzlichen Voraussetzungen des § 26 Abs.3 BDSG erlaubt sein. Da eine automatische Gesichtskontrolle oder ähnliche Datenerhebungen wohl kaum zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich sein dürfte, bliebe damit im Grunde nur die Einwilligung der Mitarbeiter (§ 26 Abs.3 S.2 BDSG).
Im Fall des neuseeländischen Elektrikers konnte von einer freiwilligen Einwilligung keine Rede gewesen sein.
Die Wirksamkeit einer Einwilligung kann auch dann in Frage gestellt werden, wenn es keine gültige Alternative, wie z.B. die Eingabe eines Kennwortes oder Verwendung eines Transponders oder einer Karte verfügbar ist. Bei der Implementierung auf der Grundlage einer Einwilligung müsste das System daher auch einen alternativen Betriebs-Modus bereitstellen, was mit einem zusätzlichen Aufwand verbunden wäre.
Auch gilt, je unverhältnismäßiger die vom Arbeitgeber durchgeführte Maßnahme, desto mehr wäre die Freiwilligkeit der Einwilligung in Zweifel zu ziehen.
Ein Berliner Arbeitsgericht hat vor wenigen Monaten festgestellt, dass das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen dürfte als bei einer angestrebten Zugangssicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden (ArbG Berlin, Urteil vom 16.10.2019 – 29 Ca 5451/19). Diese Erwägungen wurden durch das Gericht im Rahmen einer Erforderlichkeitsprüfung nach § 26 Abs.1 und Abs.3 BDSG getroffen, die mangels Vorliegen einer Einwilligung durchgeführt wurde; sie sollten jedoch auch bei der Prüfung der der Wirksamkeit einer Einwilligung gleichfalls Beachtung finden.
Neben der Einwilligung kommt grundsätzlich auch eine Betriebsvereinbarung gem. § 26 Abs.4 BDSG als Rechtsgrundlage für die Einführung und Nutzung des Biometrie-Systems in Betracht. In der Betriebsvereinbarung sollten nähere Bestimmungen zum Einsatz des Systems getroffen werden, die die Interessen des Arbeitgebers auf der einen und der Persönlichkeitsrechte der Beschäftigten auf der anderen Seite in Einklang bringen.
Ausreichende technische und organisatorische Maßnahmen
Der wirksamen Umsetzung ausreichender technischer und organisatorischer Maßnahmen nach Maßgabe von Art. 24, 32 DSGVO und § 26 Abs.3 S.2 i.Vm. § 22 Abs.2 BDSG kommt eine erhöhte Bedeutung zu. So sollte nach Möglichkeit keine zentrale Speicherung biometrischer Daten vorgenommen und auf die Speicherung von Rohdaten verzichtet werden.
Hier lassen sich kaum allgemeine Aussagen treffen, denn es wird immer auf die spezifischen Besonderheiten des jeweiligen Systems ankommen. Eine erste hilfreiche Anlaufstelle findet sich im Working Paper 80 der Artikel 29 Datenschutzgruppe, das zwar schon älter ist, aber bis heute gültige und sinnvolle Aussagen trifft. Beispielsweise, dass besagte Rohdaten meistens mehr Daten benötigen als für die Authentifizierung erforderlich und daher mit reduzierten Templates gearbeitet werden sollte und
„nicht benötigte Daten zu einem möglichst frühen Zeitpunkt vernichtet werden sollten“ (S.8).
Richtig, schon in diesem kurzen Satz schwingt ein anderer wichtiger Aspekt mit: Konkrete Löschregelungen zu den erhobenen biometrischen Daten dürfen nicht vergessen werden!
Datenschutz-Folgenabschätzung ein Muss
Zudem taucht die Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung gleich als Nr. 1 in der sog. DSFA-Liste der Aufsichtsbehörden gemäß Art. 35 Abs.4 DSGVO auf, womit regelmäßig vor Einführung eines solchen Authentifizierungssystems eine Datenschutz-Folgenabschätzung durchzuführen ist.
Betriebsrat ins Boot holen
Ein biometrisches Zutrittskontrollsystem löst zudem das Mitbestimmungsrecht des Betriebsrats gem. Art. 87 Abs.1 Nr.6 BetrVG aus.
Informationspflichten
Last but not least: Der Einsatz eines biometrischen Authentifizierungssystems begründet Informationspflichten gem. Artt. 12 bis 14 DSGVO gegenüber den Betroffenen.
Fazit: Biometrische Authentifizierungssystem sind kein Allheilmittel
Stellt man nun fest, wie leicht sich auch biometrische Verfahren im Zweifel austricksen lassen, bleibt nur die Feststellung: Biometrische Verfahren sind kein Allheilmittel und sie sind auch nicht die Lösung aller Sicherheitsfragen.
Der Planung und Pilotierung eines biometrischen Systems unter Einbeziehung des Datenschutzbeauftragten und des Betriebsraats kommt damit insgesamt eine hohe Bedeutung zu. Hierdurch kann schon zu Beginn ermittelt werden, ob das geplante biometrische Systeme tatsächlich erforderlich ist und die konkrete Umsetzung für den definierten Zweck praxistauglich ist. Zur Steigerung der Akzeptanz sollte der Betriebsrat frühzeitig eingebunden werden.
Unternehmen sind aufgrund des hohen Implementierungsaufwands daher angehalten, sorgfältig abwägen, ob die Einführung eines solchen Systems unter Berücksichtigung der Vorteile gegenüber „herkömmlichen“ Systemen tatsächlich sinnvoll ist. Handelt man hier unbedarft, wie der neuseeländische Arbeitgeber, kann einem das biometrische System schnell um die Ohren fliegen.
Ein interessanter Beitrag.
Eines stört mich aber gewaltig, wo es heißt „…womit biometrische Daten rechtlich denselben Schutz genießen wie die rassische und ethnische Herkunft…“
Es gibt keine menschlichen Rassen. Alle Menschen sind gleich.
Die Formulierung soll dies auch nicht insinuieren, sondern gibt lediglich den Gesetztestext des Art. 9 Abs. 1 DSGVO wieder. Demnach ist „die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, […] biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“ untersagt.
Um diesem Missverständnis vorzubeugen, hat der Gesetzgeber ihren Gedanken im Erwägungsgrund 51 aufgegriffen: Diese personenbezogenen Daten sollten personenbezogene Daten umfassen, aus denen die rassische oder ethnische Herkunft hervorgeht, wobei die Verwendung des Begriffs „rassische Herkunft“ in dieser Verordnung nicht bedeutet, dass die Union Theorien, mit denen versucht wird, die Existenz verschiedener menschlicher Rassen zu belegen, gutheißt.
Vielen Dank für den interessanten Beitrag. Sie schreiben zur DSFA, dass eine solche regelmäßig bei Einführung biometrischer Authentifizierungssysteme durchzuführen ist. Könnte es Ihrer Ansicht nach Fälle geben, in denen keine DSFA durchzuführen wäre? Beispielsweise in jenen Fällen, in denen die Datenverarbeitung so ausgestaltet wird, dass kein weiteres Kriterium aus WP 248 Rev. 01 zutrifft? Konkret, wenn der Verantwortliche ausschließlich den Zutritt zu seinem Rechenzentrum (eine einzige Türe) mit einem biometrischen Authentifizierungssystem absichert. Dies beschreibt dann offensichtlich keinen flächendeckenden Einsatz im Sinne des Beispiels der Nr. 1 der Art. 35 Abs. 4-Liste der Aufsichtsbehörden. Betroffen wären lediglich wenige ausgewählte Personen, weswegen eine umfangreiche Verarbeitung gem. Art. 35 Abs. 3 Bst. b DSGVO ebenso verneint werden kann. Selbstredend sind begleitende geeignete technische und organisatorische Maßnahmen implementiert, die den Schutz der betroffenen Personen gewährleisten; z.B. Verarbeitung ausschließlich von Templates der biometrischen Daten, die Verarbeitung der Daten – wie das Erfassung und der Vergleich – findet nur im Leser statt usw. (Vgl. dazu WP80 der ehemaligen Artikel-29-Datenschutzgruppe).
Im Rahmen einer sog. Schwellwertanalyse ist zunächst zu ermitteln, ob eine DSFA durchzuführen ist.
In diesem Kontext sollte Art. 35 Abs.5 DSGVO beachtet werden. Aufsichtsbehörden können sog. „Whitelists“ veröffentlichen, in denen Verarbeitungstätigkeiten beschrieben sind, für die grundsätzlich keine DSFA erforderlich sein wird. Eine solche Whitelist wurde bisher nicht veröffentlicht – im Bereich biometrischer Authentifizierungssysteme wird eine solche Ausnahme nach Art. 35 Abs.5 DSGVO daher nicht vorliegen.
Im nächsten Schritt wäre dann positiv festzustellen, dass eine Pflicht zur Durchführung der DSFA besteht. Dies ist gem. Art. 35 Abs.1 immer dann der Fall, wenn ein Verarbeitungsvorgang „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ hat, wobei Art. 35 Abs.3 DSGVO typische allgemeine Szenarien beschreibt, bei denen das hohe Risiko immer anzunehmen sein wird. Im Fall einer einzelnen biometrisch gesicherten Tür, die nur einen ganz eingeschränkten Personenkreis (IT-Admins) betrifft, dürfte sich ein hohes Risiko zumindest nicht aus Art. 35 Abs.3 DSGVO ergeben.
Ist der beabsichtigte Verarbeitungsvorgang jedoch einer in der sog. „Blacklist“ gem. Art. 35 Abs.4 DSGVO enthaltenen Fallgruppe zuzuordnen, ist der Verantwortliche zur Durchführung einer DSFA verpflichtet. Die Beurteilung, ob der Verarbeitungsvorgang „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat, ist in diesen Fällen bereits durch die Aufsichtsbehörde erfolgt und wird dem Verantwortlichen insoweit abgenommen.
Hier bejahen die Aufsichtsbehörden ein hohes Risiko nur für die Fälle, in denen neben der Identifizierung durch biometrische Systeme zusätzlich mindestens ein weiteres folgendes Kriterium aus WP 248 Rev. 01 zutrifft. Soweit dies ausnahmsweise nicht der Fall ist, könnte von der Durchführung einer DSFA bei der Einführung eines biometrischen Zugangssystems ausnahmsweise abgesehen werden. Nichtsdestotrotz ist das Ergebnis der Prüfung, einschließlich einer Begründung für den Verzicht auf die Durchführung einer DSFA, zu dokumentieren.
Trotz des schon in die Jahre gekommenen Artikels, versuche ich hier mein Glück ;-)
Wie sieht es bei Firmenhandys aus, wo der Arbeitnehmer (Betroffener) den Fingerabdruck als Entsperrvorgang wählt? Entsteht hier dadurch ein sensibles Datum und muss der AG (Verantwortlicher) daher eine Einwillgung einholen und sogar eine Folgeabschätzung erstellen? Wie sieht es aus, wenn der AN die Nutzung des Fingerabdrucks verbietet (um sich vor nichtgewollten sensiblen Daten zu „bewahren“) und der AN es trotzdem nutzt – und das ja wahrscheinlich nicht erfährt – und der AN das eventuell dann später gegen den AG nutzen will?
Vielen Dank für Antworten!!
Der Fingerabdruck fällt als biometrisches Datum unter Art. 9 DSGVO und ist damit datenschutzrechtlich besonders geschützt. Ihre Frage ist jedoch theoretischer Natur:
Der Fingerabdruck wird zu Authentifizierungszwecken durch den Fingerabdrucksensor Ihres Smartphones verarbeitet und typischerweise als Hashcode zum späteren Abgleich für Authentifizierungszwecke im Gerät selbst gespeichert. Der Hashcode kann nicht ohne weiteres exportiert werden. Selbst für den hoch hypothetischen Fall, dass es dem Arbeitgeber gelänge, den Hashcode zu exportieren, ließe sich daraus nicht das ursprüngliche biometrische Datum erstellen. Die Erhebung und Verarbeitung des Fingerabdrucks geschieht somit nur für eine „juristische Sekunde“. Vor diesem Hintergrund dürfte die Nutzung von Fingerabdruck-Sensoren unter Verwendung des vom Arbeitgeber bereitgestellten Smartphones kein relevantes Risiko begründen, das die Durchführung einer Datenschutzfolgenabschätzung erforderlich macht.
Eine Einwilligung des Mitarbeiters für Zwecke der Fingerprint-Authentifizierung am vom Arbeitgeber bereitgestellten Smartphone dürfte aus denselben Gründen nicht erforderlich sein: Der Arbeitgeber hat typischerweise keine Möglichkeit auf den Vorgang Einfluss zu nehmen. Mangels konkreter Datenverarbeitung durch den Arbeitgeber für Zwecke der Authentifizierung sollte eine Pflicht des Arbeitgebers, hierfür extra Einwilligungen einzuholen, nicht gegeben sein.