1. Home
  2. Knowledge Base
  3. Datenschutzmanagement für Unternehmen
  4. Biometrische Daten und die DSGVO: Was ist erlaubt?
  1. Home
  2. Knowledge Base
  3. Grundlagen des Datenschutzes
  4. Biometrische Daten und die DSGVO: Was ist erlaubt?
  1. Home
  2. Knowledge Base
  3. Wichtige Begriffe und Prinzipien
  4. Biometrische Daten und die DSGVO: Was ist erlaubt?

Biometrische Daten und die DSGVO: Was ist erlaubt?

Biometrische Daten und die DSGVO: Was ist erlaubt?

Biometrische Daten sind besondere personenbezogene Daten und fallen unter den strengen Schutz von Art. 9 DSGVO. Die Verordnung definiert sie als „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten (Fingerabdrücke)“. Dieser Artikel erläutert, was biometrische Daten sind, wann sie verarbeitet werden dürfen und was Unternehmen bei der Nutzung biometrischer Zutrittskontrollen beachten müssen.

Was sind biometrische Daten nach der DSGVO?

Biometrische Daten sind besondere personenbezogene Daten, die durch spezielle technische Verfahren gewonnen werden und die eindeutige Identifizierung einer Person ermöglichen oder bestätigen. Typische Beispiele für biometrische Daten sind:

  • Gesichtserkennung: Z. B. Face ID
  • Fingerabdruck-Scanner: Z. B. zur Zutrittskontrolle
  • Iris- und Netzhaut-Scans
  • Stimmerkennung
  • Verhaltenserkennung: Z. B. Tippverhalten auf der Tastatur

Wann dürfen biometrische Daten verarbeitet werden?

Grundsätzlich gilt: Die Verarbeitung biometrischer Daten ist verboten, außer es greift eine gesetzliche Ausnahme gemäß Art. 9 Abs. 2 DSGVO. Die wichtigsten Erlaubnistatbestände sind:

  • Ausdrückliche Einwilligung der betroffenen Person:

  • Die betroffene Person muss freiwillig und informiert zustimmen.

  • Achtung: Im Arbeitsverhältnis ist eine Einwilligung oft nicht freiwillig, da ein Abhängigkeitsverhältnis besteht.

  • Erforderlichkeit aufgrund von arbeitsrechtlichen oder sozialen Schutzvorschriften:

  • Z. B. wenn ein Fingerabdruck-Scanner für die Arbeitszeiterfassung notwendig ist.

  • Schutz lebenswichtiger Interessen:

  • Wenn eine Person nicht einwilligen kann (z. B. Bewusstlosigkeit im Krankenhaus) und biometrische Daten zur Identifikation benötigt werden.

Fehlt eine dieser Rechtsgrundlagen, ist die Verarbeitung biometrischer Daten verboten!

Biometrische Zutrittskontrolle: Was müssen Unternehmen beachten?

Unternehmen, die biometrische Daten für Zugangskontrollen oder Identifikationszwecke nutzen möchten, müssen vorab prüfen:

  • Ist die Verarbeitung überhaupt zulässig? Greift eine der Ausnahmen aus Art. 9 DSGVO?
  • Gibt es alternative, weniger eingreifende Methoden? RFID-Karten oder PIN-Systeme könnten ausreichen.
  • Ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich? Bei hohem Risiko (z. B. flächendeckende Gesichtserkennung) ist eine DSFA nach Art. 35 DSGVO Pflicht.
  • Sind die Daten ausreichend geschützt? Technische und organisatorische Maßnahmen (TOM) wie Verschlüsselung, Zugriffsbeschränkungen und Löschkonzepte müssen umgesetzt werden.

Tipps für die Praxis

  • Schulung der Mitarbeiter: Sensibilisieren Sie Ihre Mitarbeiter für den Umgang mit biometrischen Daten und die Bedeutung des Datenschutzes. Regelmäßige Schulungen können helfen, das Bewusstsein für die rechtlichen Anforderungen zu schärfen.
  • Interne Richtlinien: Entwickeln Sie klare Richtlinien für die Nutzung biometrischer Daten im Unternehmen. Diese Richtlinien sollten die rechtlichen Anforderungen abdecken und sicherstellen, dass alle Mitarbeiter die notwendigen Kenntnisse und Fähigkeiten besitzen.
  • Regelmäßige Überprüfung: Überprüfen Sie regelmäßig die Maßnahmen und Richtlinien zur Nutzung biometrischer Daten und passen Sie diese bei Bedarf an. Dies stellt sicher, dass Ihr Unternehmen den aktuellen Anforderungen entspricht und effektiv auf neue Entwicklungen reagieren kann.

Fazit

Biometrische Daten sind besonders schützenswert und unterliegen strengen Regeln der DSGVO. Eine Verarbeitung ist nur unter bestimmten Voraussetzungen erlaubt – insbesondere mit ausdrücklicher Einwilligung oder wenn sie arbeitsrechtlich notwendig ist. Unternehmen müssen vor der Einführung biometrischer Verfahren eine sorgfältige Prüfung durchführen, insbesondere durch eine Datenschutz-Folgenabschätzung (DSFA). Wer biometrische Systeme einsetzen möchte, sollte immer zuerst prüfen, ob alternative, datenschutzfreundlichere Lösungen ausreichen.

Mögliche Fragen, die zu diesem Artikel führen könnten:

  1. Was sind biometrische Daten nach der DSGVO?
  2. Wann dürfen biometrische Daten verarbeitet werden?
  3. Welche Erlaubnistatbestände gelten für die Verarbeitung biometrischer Daten?
  4. Was müssen Unternehmen bei der Nutzung biometrischer Zutrittskontrollen beachten?
  5. Warum ist eine Datenschutz-Folgenabschätzung (DSFA) bei der Nutzung biometrischer Daten wichtig?

Tags

  • Datenschutz-Compliance
  • Biometrische Daten
  • DSGVO
Was this article helpful?
Yes No

Related Articles

Brauchen Sie Unterstützung?

Sie können die gesuchte Antwort nicht finden?
Kontakt
Nach oben scrollen