Fingerabdruck verstößt gegen DSGVO

Fingerabdruck verstößt gegen DSGVO

In unserer heutigen Zeit werden immer häufiger Fingerabdrücke als Identifikationsmittel verwendet, zum Beispiel beim Entsperren eines Smartphones mit einem Fingerscan. Aber was ist mit der Privatsphäre, wenn sie nicht mehr in einer privaten Angelegenheit stattfindet, in der bewusste Freiwilligkeit herrscht? Kann die arbeitsbezogene Fingeridentifikation im Rahmen der Sicherheit vorgeschrieben werden? Kann eine Organisation ihren Mitarbeitern eine Verpflichtung auferlegen, ihre Fingerabdrücke abzugeben, zum Beispiel für den Zugang zu einem Sicherheitssystem? Und wie verhält sich diese Verpflichtung zu den Datenschutzbestimmungen?

Fingerabdruck verstößt gegen DSGVO

Fingerabdrücke als besondere personenbezogene Daten

Die Frage, die wir uns hier stellen sollten, ist, ob ein Fingerscan als personenbezogene Daten im Sinne der Datenschutzgrundverordnung gilt. Ein Fingerabdruck sind biometrische personenbezogene Daten, die das Ergebnis einer spezifischen technischen Verarbeitung der physischen, physiologischen oder Verhaltensmerkmale einer Person sind.[1] Biometrische Daten können als Informationen über eine natürliche Person angesehen werden, da es sich um Daten handelt, die ihrer Natur nach Aufschluss über eine bestimmte Person geben. Mittels biometrischer Daten wie einem Fingerabdruck ist die Person identifizierbar und kann von einer anderen Person unterschieden werden. In Artikel 4 DSGVO wird dies auch ausdrücklich durch die Definitionsbestimmungen bestätigt.[2]

Fingerabdruck-Identifikation ist eine Verletzung der Privatsphäre?

Das Amtsgericht Amsterdam hat kürzlich über die Zulässigkeit eines Fingerscans als Identifikationssystem nach Maßgabe der Sicherheitsverordnung entschieden.

Die Schuhgeschäftskette Manfield nutzte ein Fingerscan-Autorisierungssystem, das den Mitarbeitern Zugang zu einer Kasse ermöglichte.

Laut Manfield war die Verwendung der Fingeridentifikation die einzige Möglichkeit, Zugang zum Kassensystem zu erhalten. Es war unter anderem notwendig, die Finanzinformationen und persönlichen Daten der Mitarbeiter zu schützen. Andere Methoden waren nicht mehr qualifiziert und betrugsanfällig. Einer der Mitarbeiter der Organisation widersprach der Verwendung ihres Fingerabdrucks. Sie wertete diese Autorisierungsmethode als Verletzung ihrer Privatsphäre und verwies auf Artikel 9 der DSGVO. Nach diesem Artikel ist die Verarbeitung biometrischer Daten zum Zwecke der eindeutigen Identifizierung einer Person verboten.

Notwendigkeit

Dieses Verbot gilt nicht, soweit die Verarbeitung zu Authentifizierungs- oder Sicherheitszwecken erforderlich ist. Das Geschäftsinteresse von Manfield bestand darin, Einnahmeverluste durch betrügerisches Personal zu verhindern. Das Amtsgericht hat die Berufung des Arbeitgebers zurückgewiesen. Die Geschäftsinteressen von Manfield machten das System nicht „für Authentifizierungs- oder Sicherheitszwecke erforderlich“, wie in Abschnitt 29 des DSGVO-Umsetzungsgesetzes festgelegt. Natürlich steht es Manfield frei, gegen Betrug vorzugehen, dies darf jedoch nicht unter Verstoß gegen die Bestimmungen der DSGVO erfolgen. Darüber hinaus habe der Arbeitgeber seinem Unternehmen keine andere Sicherheit gestellt. Alternative Zulassungsverfahren wurden nicht ausreichend erforscht; Denken Sie an die Verwendung eines Zugangspasses oder eines numerischen Codes, unabhängig davon, ob eine Kombination aus beidem vorliegt oder nicht. Der Arbeitgeber hatte die Vor- und Nachteile verschiedener Arten von Sicherheitssystemen nicht sorgfältig abgewogen und konnte nicht ausreichend begründen, warum er ein bestimmtes Fingerscan-System bevorzugt. Vor allem aus diesem Grund hatte der Arbeitgeber nicht den Rechtsanspruch, auf Grundlage des DSGVO-Umsetzungsgesetzes von seinen Mitarbeitern die Nutzung des Fingerabdruck-Berechtigungssystems zu verlangen.

Wenn Sie an der Einführung eines neuen Sicherheitssystems interessiert sind, muss geprüft werden, ob solche Systeme nach der DSGVO und dem Umsetzungsgesetz zulässig sind. Bei Fragen wenden Sie sich bitte an die Anwälte unter Law & More. Wir beantworten Ihre Fragen und geben Ihnen rechtliche Hilfe und Informationen.

[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie

[2] ECLI:NL:RBAMS:2019:6005

Datenschutzeinstellungen
Wir verwenden Cookies, um Ihre Erfahrungen mit unserer Website zu verbessern. Wenn Sie unsere Dienste über einen Browser nutzen, können Sie Cookies über die Einstellungen Ihres Webbrowsers einschränken, blockieren oder entfernen. Wir verwenden auch Inhalte und Skripte von Dritten, die Tracking-Technologien verwenden. Sie können Ihre Einwilligung unten ausdrücklich angeben, um das Einbetten solcher Drittanbieter zu ermöglichen. Um vollständige Informationen über die von uns verwendeten Cookies, die von uns gesammelten Daten und deren Verarbeitung zu erhalten, besuchen Sie bitte unsere Datenschutzerklärung
Law & More B.V.