Wann Sie biometrische Daten im Unternehmen verarbeiten dürfen

27.09.2022

Es gibt Abläufe, wie z.B. Zugangskontrollen, bei denen Unternehmen biometrische Daten verarbeiten. Doch aufgepasst: diese gehören den besonders schützenswerten Kategorien personenbezogener Daten an. Damit besteht gemäß DSGVO ein Verarbeitungsverbot. Wer die Situation nicht gründlich prüft und einen zulässigen Ausnahmetatbestand findet, riskiert bei der Verarbeitung einen Datenschutzvorfall.

Definition biometrische Daten

Biometrische Daten sind Informationen über Eigenschaften des menschlichen Körpers, die eine Verifikation oder Identifikation ermöglichen. Das Spektrum der Daten ist groß und umfasst physiologische Merkmale, wie:

  • DNA
  • Fingerabdruck
  • Gangart
  • Gebissabdruck
  • Gesichtsgeometrie
  • Handlinienstruktur
  • Iris
  • Position und Verlauf von Venen
  • Ohrform
  • Stimme
  • Tattoos

Erfassung und Auswertung körperlicher Charakteristika

Die Biometrie bezeichnet die Erfassung ausgewählter körperlicher Charakteristika, um diese als Datenbasis heranzuziehen.

  • Identifikation: Eine Person hält Angaben zur eigenen Identität zurück, weil sie z.B. bei einem Verbrechen gefasst wurde. Anhand physiologischer Merkmale wird überprüft, wer die Person ist. Dies geschieht per Abgleich mit Datensätzen aus geeigneten Datenbanken, wie z.B. den erkennungsdienstlichen Datenbanken des BKA.
  • Verifikation: Jemand gibt sich als eine bestimmte Person aus, z.B. bei einer Zugangskontrolle. Die von der zu verifizierenden Personen erfassten Daten werden zur Authentifizierung mit hinterlegten Daten abgeglichen – und zwar mit exakt einem Datensatz, um die Identität zu bestätigen.

Biometrische Daten erlauben nicht immer eine hundertprozentig sichere Identifikation oder Verifikation. Wurden beispielsweise Fingerabdrücke an einem Tatort genommen, kommt deren Vollständigkeit und Genauigkeit eine große Bedeutung zu. Ebenso können Personen ihre biometrischen Merkmale verändern, indem sie sich z.B. Operationen unterziehen oder Tattoos entfernen lassen.

Hürden der DSGVO

Erfassung und Abgleich biometrischer Merkmale stellen einen Eingriff in die Privatsphäre des Betroffenen dar. Gemäß Art. 4 Nr. 13 und 14 DSGVO fallen biometrische Daten in die Kategorie besonders schützenswerter personenbezogener Daten. Entsprechend bedürfen diese Daten einen besonders hohen Schutz. Daher gilt gemäß Art. 9 Abs. 1 DSGVO für biometrische Daten ein grundsätzliches Verarbeitungsverbot.

Ausnahmetatbestände für eine zulässige Verarbeitung

Dies bedeutet jedoch nicht, biometrische Merkmale nicht erfassen und verarbeiten zu dürfen. Art. 9 Abs. 2 DSGVO führt Tatbestände auf, die eine Ausnahme vom Verarbeitungsverbot zulassen.

Im Hinblick auf einen möglichen Ausnahmetatbestand ist eine Interessenabwägung vorzunehmen. Es gilt zu ermitteln, ob die Interessen des Betroffenen oder der verarbeitenden Stelle schwerer wiegen.

Ausnahmetatbestände betreffen vor allem den öffentlichen Sektor, nämlich wenn die Verarbeitung der Daten der öffentlichen Sicherheit, der Verbrechensbekämpfung oder der Rechtsprechung dient.

Im geschäftlichen Umfeld spielt die Verarbeitung biometrischer Daten vor allem bei Zugangskontrollen eine Rolle. Scans von Fingern, Handflächen oder der Iris werden durchgeführt, um Personen zu identifizieren und ihnen Zugang zu bestimmten Räumlichkeiten zu gestatten. In diesem Zusammenhang müssen Entscheider zwei wichtige Aspekte berücksichtigen:

  • Zweck- und Verhältnismäßigkeit: Die Art des Raumes ist von Bedeutung. Es muss ein triftiger Grund bestehen, ihn so umfassend abzusichern. Solch ein Grund kann z.B. bei Serverräumen oder Tresorräumen gegeben sein.
  • Zustimmung der Betroffenen: Die Verarbeitung ist nur zulässig, wenn die betroffenen Mitarbeiter im Vorfeld freiwillig zugestimmt haben.

Fazit

Aufgepasst bei der Verarbeitung biometrischer Merkmale. Sie greift tief in die Privatsphäre der Betroffenen ein, weshalb gemäß DSGVO ein Verarbeitungsverbot besteht. In Abhängigkeit von den Abläufen im Unternehmen kann jedoch die Möglichkeit bestehen, dass ein Ausnahmetatbestand greift. Entsprechend gilt es genau zu prüfen, ob und wie sich biometrische Daten verarbeiten lassen.

Sie möchten biometrische Daten verarbeiten oder haben andere Problemstellungen rund um den betrieblichen Datenschutz? Gerne unterstützen wir Sie bei der Entwicklung geeigneter Lösungsansätze sowie bei der Umsetzung. Nutzen Sie unsere kostenlose Erstberatung.