News

Datenschutz bei Fingerabdruckscanner

05/07/2019

Fingerabdruckscanner können einen einfachen, schnellen und vermeintlich sicheren Zugang zu vielen IT-Anwendungen ermöglichen. Sie sind ebenso ein Mittel, um den Zutritt zu bestimmten Firmenbereichen oder den Zugriff auf Alarmanlagen und Zeiterfassungssystemen zu regeln.

Der Fingerabdruck ist ein personenbezogenes Datum gemäß Art. 4 Abs. 1 Datenschutzgrundverordnung (DSGVO). Damit unterliegen die Verarbeitung des Fingerabdrucks für die oben genannten Fälle den Regelungen der DSGVO.
Bei Nutzung des Fingerabdruckscanners werden biometrische Daten zur eindeutigen Identifizierung einer Person verarbeitet. Diese Verarbeitung gehört zu den besonderen personenbezogenen Daten die gemäß Art. 9 Abs. 1 DSGVO unter besonderem Schutz stehen.

Die Verarbeitung ist nur zulässig, wenn ein Erlaubnistatbestand gemäß Art. 9 Abs. 2 DSGVO erfüllt ist. Bis auf die Einwilligung der betroffenen Person gemäß Art. 9 Abs. 2 a) DSGVO sind die Erlaubnistatbestände gemäß Art. 9 Abs. 2 b) bis j) DSGVO in Unternehmen regelmäßig nicht erfüllt.

Die Einwilligung gemäß Art. 9 Abs. 2 a) DSGVO muss ausdrücklich für den festgelegten Zweck erfolgen.
Für die Einwilligung im Beschäftigungsverhältnis gilt zusätzlich § 26 Abs. 2 BDSG. Hierin werden:

  1. die Schriftform vorgeschrieben und
  2. sehr hohe Hürden für die Beurteilung der Freiwilligkeit bei der Einwilligung definiert.

Zitat § 26 Abs. 2 BDSG:
„Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.“

Die Freiwilligkeit einer Einwilligung in die Verarbeitung personenbezogener Daten zur eindeutigen Identifikation einer Person ist in der Regel schwer rechtssicher nachweisbar.
Eine Einwilligung, die nicht freiwillig erteilt wurde, ist unwirksam.

Wird die Einwilligung für unwirksam erklärt, erfolgte die Verarbeitung ohne Rechtsgrundlage. Dies ist gemäß Art. 83 Abs. 5 DSGVO ein Bußgeldtatbestand.

§ 26 Abs. 4 BDSG eröffnet die Möglichkeit die Verarbeitung besonderer personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlagen von Kollektivvereinbarungen zu regeln. Dies ist nur in Unternehmen mit entsprechenden Mitbestimmungsstrukturen möglich.

Vor dem Einsatz eines Fingerabdruckscanners ist immer zu prüfen, ob der Zweck nicht mit anderen Mitteln erreicht werden kann, die einen geringeren Grundrechtseingriff für die betroffenen Personen darstellen. In vielen Fällen könnte dies mittels Chipkarten oder Transponder erreicht werden.

Beim Einsatz eines Fingerabdruckscanners ist vor Aufnahme der Verarbeitung eine Datenschutz- Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen.
Sofern eine Datenschutz-Folgenabschätzung durchzuführen ist, entsteht gemäß § 38 Abs. 1 BDSG die Pflicht, einen Datenschutzbeauftragten zu bestellen.

Bei Fragen wenden Sie sich an Ihren Datenschutzbeauftragten.


Alle Artikel anzeigen