Verstößt das Scannen von Fingerabdrücken gegen die DSGVO-Regeln?
In unserer heutigen Zeit werden immer häufiger Fingerabdrücke als Identifikationsmittel verwendet, zum Beispiel beim Entsperren eines Smartphones mit einem Fingerscan. Aber was ist mit der Privatsphäre, wenn sie nicht mehr in einer privaten Angelegenheit stattfindet, in der bewusste Freiwilligkeit herrscht? Kann die arbeitsbezogene Fingeridentifikation im Rahmen der Sicherheit vorgeschrieben werden? Kann eine Organisation ihren Mitarbeitern eine Verpflichtung auferlegen, ihre Fingerabdrücke abzugeben, zum Beispiel für den Zugang zu einem Sicherheitssystem? Und wie verhält sich diese Verpflichtung zu den Datenschutzbestimmungen?
Fingerabdrücke als besondere personenbezogene Daten
Die Frage, die wir uns hier stellen sollten, ist, ob ein Fingerscan als personenbezogene Daten im Sinne der Datenschutzgrundverordnung gilt. Ein Fingerabdruck sind biometrische personenbezogene Daten, die das Ergebnis einer spezifischen technischen Verarbeitung der physischen, physiologischen oder Verhaltensmerkmale einer Person sind.[1] Biometrische Daten können als Informationen über eine natürliche Person angesehen werden, da es sich um Daten handelt, die ihrer Natur nach Aufschluss über eine bestimmte Person geben. Mittels biometrischer Daten wie einem Fingerabdruck ist die Person identifizierbar und kann von einer anderen Person unterschieden werden. In Artikel 4 DSGVO wird dies auch ausdrücklich durch die Definitionsbestimmungen bestätigt.[2]
Fingerabdruck-Identifikation ist eine Verletzung der Privatsphäre?
Das Amtsgericht Amsterdam hat kürzlich über die Zulässigkeit eines Fingerscans als Identifikationssystem nach Maßgabe der Sicherheitsverordnung entschieden.
Die Schuhgeschäftskette Manfield nutzte ein Fingerscan-Autorisierungssystem, das den Mitarbeitern Zugang zu einer Kasse ermöglichte.
Laut Manfield war die Verwendung der Fingeridentifikation die einzige Möglichkeit, Zugang zum Kassensystem zu erhalten. Es war unter anderem notwendig, die Finanzinformationen und persönlichen Daten der Mitarbeiter zu schützen. Andere Methoden waren nicht mehr qualifiziert und betrugsanfällig. Einer der Mitarbeiter der Organisation widersprach der Verwendung ihres Fingerabdrucks. Sie wertete diese Autorisierungsmethode als Verletzung ihrer Privatsphäre und verwies auf Artikel 9 der DSGVO. Nach diesem Artikel ist die Verarbeitung biometrischer Daten zum Zwecke der eindeutigen Identifizierung einer Person verboten.
Notwendigkeit
Dieses Verbot gilt nicht, wenn die Verarbeitung zu Authentifizierungs- oder Sicherheitszwecken erforderlich ist. Manfields Geschäftsinteresse bestand darin, Umsatzverluste durch betrügerisches Personal zu verhindern. Das Amtsgericht wies die Berufung des Arbeitgebers ab. Manfields Geschäftsinteressen machten das System nicht „zu Authentifizierungs- oder Sicherheitszwecken erforderlich“, wie in Abschnitt 29 des DSGVO-Umsetzungsgesetzes festgelegt.
Natürlich steht es Manfield frei, gegen Betrug vorzugehen, aber dies darf nicht unter Verstoß gegen die Bestimmungen der DSGVO geschehen. Darüber hinaus hatte der Arbeitgeber seinem Unternehmen keine andere Form der Sicherheit zur Verfügung gestellt. Alternative Autorisierungsmethoden wurden nicht ausreichend erforscht; denken Sie an die Verwendung eines Zugangspasses oder eines numerischen Codes, ob nun eine Kombination aus beidem oder nicht.
Der Arbeitgeber hatte die Vor- und Nachteile verschiedener Arten von Sicherheitssystemen nicht sorgfältig abgewogen und konnte nicht ausreichend begründen, warum er ein bestimmtes Fingerabdruck-Scan-System bevorzugte. Vor allem aus diesem Grund hatte der Arbeitgeber auf Grundlage des DSGVO-Umsetzungsgesetzes kein gesetzliches Recht, von seinen Mitarbeitern die Verwendung des Fingerabdruck-Scan-Autorisierungssystems zu verlangen.
Wenn Sie an der Einführung eines neuen Sicherheitssystems interessiert sind, muss geprüft werden, ob solche Systeme nach der DSGVO und dem Umsetzungsgesetz zulässig sind. Bei Fragen wenden Sie sich bitte an die Anwälte unter Recht & Mehr. Wir beantworten Ihre Fragen und versorgen Sie mit legal Hilfe und Informationen.
[1] https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/identificatie/biometrie
[2] ECLI:NL:RBAMS:2019:6005