Verarbeitung biometrischer Daten

Die Verarbeitung biometrischer Daten stellt einen Verarbeitungsprozess dar, der mindestens aus Sicht des Datenschutzes besonderer Aufmerksamkeit bedarf. Weshalb? Darauf gehen wir in diesem Beitrag ein.

Biometrische Daten

Biometrische Daten sind Daten, die sich aus der Messung physischer Merkmale ergeben. Für gewöhnlich setzen Verantwortliche dafür spezielle Technologien ein. Bei diesen Technologien handelt es sich beispielsweise um Fingerabdruck-, Iris-Scanner oder auch Kameras, die physische Merkmale wie beispielsweise die des Gesichtes, genau berechnen.

Die Problematik der Verarbeitung biometrischer Daten

Biometrische Daten gelten als personenbezogene Daten besonderer Kategorien gemäß Art. 9 Abs. 1 DSGVO. Bei der Verarbeitung biometrischer Daten liegt die Gefahr in der generell möglichen eindeutigen Identifizierung einer Person. Es bedeutet also, es besteht eine sehr hohe Gefahr für die Grundrechte und Grundfreiheiten von Personen. Genau diese gilt es zu schützen. Pragmatisch gesehen, schützt man diese am besten, indem man personenbezogene Daten, hier die biometrischen, erst gar nicht verarbeitet.

Möchte ein Verantwortlicher solche Daten eben doch verarbeiten bzw. meint er, dies wäre notwendig, gilt es, vorher bestimmte Schritte zu unternehmen:

Datenschutz-Folgenabschätzung

Die Verarbeitung biometrischer Daten von Personen birgt ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen. Aus diesem Grund ist eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen.

Schwellwertanalyse

Wenn es übrigens der Fall wäre, dass ein Verantwortlicher sich unsicher ist, ob eine Datenschutz-Folgenabschätzung durchzuführen wäre, bietet sich immer eine Schwellwertanalyse als ersten Schritt an. Der Sinn der Schwellwertanalyse liegt in einer Risikoanalyse, die einen ersten Eindruck der Risiken liefern kann. Dabei wir die geplante Verarbeitungstätigkeit betrachtet. Des Weiteren wird kategorisiert, welche personenbezogenen Daten der Verantwortliche plant, zu verarbeiten. Dabei liegt natürlich das Augenmerk auf sensiblen personenbezogenen Daten und Verarbeitungen gemäß der Muss-Liste der Datenschutzkonferenz (DSK).

Geeignete technische und organisatorische Maßnahmen

Der Vorteil der Durchführung einer Datenschutz-Folgenabschätzung liegt auch darin, dass ein Verantwortlicher einen Überblick darüber erhält, inwiefern die zum jeweiligen Zeitpunkt getroffenen technischen und organisatorischen Maßnahmen ausreichend sind. Schließlich gibt Art. 32 DSGVO vor, dass ein Verantwortlicher „[…] geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […]“, implementieren muss. Ist das Risiko für die Personen durch die Verarbeitung ihrer biometrischen Daten also immer noch zu hoch, sollte der Verantwortliche weitere Maßnahmen ergreifen, um das Risiko zu mindern oder von der Verarbeitung solcher Daten absehen.

Rechtsgrundlage

Nun haben wir bisher Art. 6 Abs. 1 DSGVO im Bezug zur Rechtsgrundlage erwähnt. Wie wir aber schon erwähnten, handelt es sich bei biometrischen Daten um personenbezogene Daten besonderer Kategorien. Das bedeutet, wir müssen uns Art. 9 Abs. 2 DSGVO und § 22 Abs. 1 BDSG ansehen. Es ist also u. a. zu betrachten, ob ein Verantwortlicher die Verarbeitung der biometrischen Daten beispielsweise ausschließlich mit der Einwilligung der betroffenen Person durchführen kann. Handelt es sich bei dem Verantwortlichen eventuell um den Arbeitgeber kommt die Frage hinzu, ob die Einwilligung der Beschäftigten tatsächlich absolut freiwillig ist. So kann es schließlich sein, dass sie Nachteile, wenn nicht sogar eine Kündigung, befürchten, wenn sie ihre Einwilligung für die Verarbeitung ihrer biometrischen Daten, z. B. für die Arbeitszeiterfassung mithilfe dieser, nicht erteilen. – Mehr auf dieses Thema eingegangen sind wir in diesem Beitrag. –

Ein Verantwortlicher muss identifizieren, weshalb und zu welchem Zweck ein Verantwortlicher plant, biometrische Daten zu verarbeiten. Mithilfe der kritischen Betrachtung hierbei lässt sich dann auch die zutreffende Rechtsgrundlage finden.

Alternative Maßnahmen

Aufgrund des Risikos, das sich aus der Verarbeitung personenbezogener Daten ergibt, ist es auch wichtig zu betrachten, ob es nicht eventuell sogar mildere Maßnahmen gibt, die aber den gleichen Zweck erfüllen. Mögliche Alternativen können folgende sein:

1) Anstelle des Einsatzes biometrischer Datenverarbeitung kommt für einen Verantwortlichen möglicherweise der Einsatz einer PIN-Eingabe in Betracht als Maßnahme zur Zutrittskontrolle.

2) Zur Arbeitszeiterfassung genügt es möglicherweise, dass Beschäftigte ihre Start-, Pausen- und Endzeit elektronisch in einer Software eingeben, anstelle beispielsweise den Fingerabdruck einlesen zu müssen.

3) Um zu vermeiden, dass unberechtigte Personen Dokumente aus einem Firmendrucker herausnehmen, muss sich die jeweilige Person verifizieren, bevor der Druck startet. Die Umsetzung dieser Maßnahme ist eventuell mit milderen Maßnahmen möglich, bspw. mithilfe einer Mitarbeiterkarte, als mithilfe eines Fingerabdruck-Scans.

4) Setzt ein Verantwortlicher Videoüberwachung ein, um sich außerhalb der Geschäftszeiten aktiv vor etwaigem Diebstahl zu schützen, ist eine „normale“ Videoüberwachung ggf. ausreichend im Gegensatz zu einer, die die physischen Attribute einer Person auf dem Grundstück misst.

Fazit

Je nachdem welche Verarbeitungstätigkeit ein Verantwortlicher plant, sollte dieser ein Auge darauf haben, welche personenbezogenen Daten im Zuge dieser Verarbeitungstätigkeit eventuell verarbeitet werden. Handelt es sich unter diesen nämlich auch um biometrische Daten, zieht dies zusätzliche Maßnahmen nach sich. Diese können in einer Datenschutz-Folgenabschätzung oder auch zusätzlichen technischen und organisatorischen Maßnahmen liegen. Wichtig ist jedenfalls, die Risiken für die Rechte und Freiheiten der betroffenen Personen möglichst zu verringern.

Falls Sie hierbei oder bei der Umsetzung der DSGVO bei Ihnen Unterstützung oder Beratung wünschen, kontaktieren Sie uns gern heute.