Biometrische Zugangskontrolle und DSGVO-Compliance

Deutsche Rahmenbedingungen

Die DSGVO klassifiziert biometrische Daten zur eindeutigen Identifizierung als besondere Kategorien personenbezogener Daten (Art. 9 DSGVO). Das BDSG (§ 26) erlaubt die Verarbeitung biometrischer Daten im Beschäftigungsverhältnis nur, wenn dies für die Erfüllung des Beschäftigungsverhältnisses oder aus Gründen der Datensicherheit unbedingt erforderlich ist. Der Betriebsrat hat nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung biometrischer Systeme. Eine DSFA (Datenschutz-Folgenabschätzung) ist nach Art. 35 DSGVO zwingend erforderlich. Das BfDI und die Landesbeauftragten haben in mehreren Orientierungshilfen verdeutlicht, dass Biometrie am Arbeitsplatz nur in eng begrenzten Ausnahmefällen zulässig ist.

Schlüsselbegriffe

Biometrische Daten

Personenbezogene Daten, die aus der technischen Verarbeitung physischer oder verhaltensbezogener Merkmale resultieren, wie ein Fingerabdrucktemplate oder ein Gesichtsscan.

Besondere Kategorie personenbezogener Daten

Kategorie nach Art. 9 DSGVO, zu der biometrische Daten zählen. Verarbeitung ist grundsätzlich verboten, sofern keine gesetzliche Ausnahme greift.

DSFA (Datenschutz-Folgenabschätzung)

Verpflichtende Risikoabschätzung gemäß Art. 35 DSGVO vor Verarbeitungen mit hohem Datenschutzrisiko, einschließlich biometrischer Systeme.

Erforderlichkeitsprüfung

Rechtliche Anforderung, dass biometrische Zugangskontrolle nur zulässig ist, wenn kein milderes Mittel das gleiche Sicherheitsniveau bietet.

Was das Gesetz fordert

Die DSGVO stuft biometrische Daten als besondere Kategorie ein. Die Verarbeitung ist grundsätzlich verboten, sofern keine Ausnahme greift. Das BDSG erlaubt die Verarbeitung nur, wenn sie für Sicherheitszwecke im Beschäftigungskontext unbedingt erforderlich ist. Das Wort 'unbedingt erforderlich' hat rechtliches Gewicht: Sie müssen nachweisen, dass ein Ausweissystem oder eine andere Methode das geforderte Sicherheitsniveau nicht erreichen kann.

Vor der Einführung biometrischer Zugangskontrolle ist eine DSFA durchzuführen. Diese Beurteilung beschreibt den Verarbeitungszweck, die Erforderlichkeit, die Risiken für Betroffene und die Maßnahmen zur Risikominimierung. Konsultieren Sie Ihren Datenschutzbeauftragten und binden Sie den Betriebsrat ein – dieser hat nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht.

Praktisch bedeutet das, dass Biometrie in den meisten Büroumgebungen nicht gerechtfertigt ist. Ein Ausweissystem mit PIN (Zwei-Faktor-Authentisierung) bietet in der Regel ausreichende Sicherheit. Biometrie kann jedoch in hochgesicherten Bereichen wie Rechenzentren, Labors oder Tresoren gerechtfertigt sein, sofern die DSFA positiv ausfällt und Betroffene umfassend über die Verarbeitung und ihre Rechte informiert wurden.