Biometrische Daten und Datenschutz: Was müssen Arbeitgeber beachten?

Unsere Gesichtsmerkmale oder Fingerabdrücke werden durch Computer verarbeitet, um unsere Identität zu bestätigen. Hierdurch kann ein besonders hoher Sicherheitsstandard hergestellt werden. Gleichzeitig kann bei der Verarbeitung biometrischer Daten ein großes Risiko für den Betroffenen entstehen, wenn es zu einem Identitätsdiebstahl kommt. Diese beiden Interessen müssen ausgeglichen werden. Die Datenschutzgrundverordnung (DSGVO) und das deutsche Bundesdatenschutzgesetz (BDSG) enthalten daher eine Vielzahl von Vorschriften, die für die Verarbeitung biometrischer Daten gelten.

Was genau sind biometrische Daten?

Zunächst wird in Artikel 4 Nr. 14 DSGVO klargestellt, was unter biometrischen Daten zu verstehen ist. Danach sind 

„biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“.

Unzweifelhaft zählen zu biometrischen Daten also

• Fingerabdrücke und
• Gesichtsbilder in EU-Personalausweisen.

Eine genauere Prüfung sollte aber auch bei

• Videoaufnahmen und
• sonstiger Erfassung von Gesichtsbildern 

vorgenommen werden. Hierbei kann es sich es im Einzelfall um biometrische Daten handeln.

Biometrische Daten sind sensible Daten

Schon aus dieser Definition heraus wird verständlich, dass es sich bei biometrischen Daten um sensible personenbezogene Daten handelt, die nur unter den strengen Voraussetzungen des Artikel 9 DSGVO verarbeitet werden dürfen. Danach ist die Verarbeitung biometrischer Daten generell untersagt, wenn keine Rechtsgrundlage besteht, etwa weil die betroffene Person nicht in die Verarbeitung der biometrischen Daten für einen bestimmten Zweck eingewilligt hat (Artikel 9 Abs. 2 lit. a) DSGVO).

Besonders strenge Anforderungen im Arbeitsverhältnis

Noch strengere Anforderungen gelten, wenn die biometrischen Daten im Arbeitsverhältnis verarbeitet werden. Diese ergeben sich daraus, dass die Einwilligung immer freiwillig erteilt werden muss und gerade im Arbeitsverhältnis Zweifel an einer solchen Freiwilligkeit bestehen können (vgl. § 26 Abs. 2 S. 1 BDSG). Arbeitgeber sollten daher nachweisen können, auf die Entscheidung der Arbeitnehmer keinen Druck ausgeübt zu haben. Sollte der Arbeitnehmer nicht einwilligen, dürfen insbesondere keine arbeitsrechtlichen Konsequenzen drohen.

Neben einer Einwilligung können im Arbeitsverhältnis aber auch eine mit dem Betriebsrat ausverhandelte Betriebsvereinbarung oder das berechtigte Interesse des Arbeitgebers an der Sicherheit des Arbeitsplatzes eine rechtliche Grundlage für die Verarbeitung personenbezogener Daten darstellen. Daneben kann eine Verarbeitung sensibler Daten zulässig sein, wenn dies für die Erfüllung anderer arbeitsrechtlicher Pflichten des Arbeitgebers erforderlich ist.

Dies soll allerdings nach Auffassung des Landesarbeitsgerichts Berlin-Brandenburg jedenfalls dann nicht gelten, wenn die Verarbeitung biometrischer Daten für die Erfüllung der gesetzlichen Pflichten der Arbeitszeiterfassung verwendet wird. Das Gericht ist der Auffassung, dass die Erfassung eines Fingerabdrucks nicht erforderlich ist, da die genauen An- und Abwesenheitszeiten auch mit einem Chip erfasst werden können und dies einen weniger starken Eingriff in das Persönlichkeitsrecht der Arbeitnehmer darstellt (vgl. LAG Berlin-Brandenburg, Urteil vom 4.6.2020 – 10 Sa 2130/19 (ArbG Berlin)).

Zukünftige Regelungen

Da KI-basierte Systeme und die Verarbeitung biometrischer Daten in unserer Gesellschaft immer wichtiger werden, hat die Europäische Kommission einen Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz („KI-Entwurf“) vorgelegt. Dieser soll insbesondere den Schutz personenbezogener Daten bei der Verwendung von KI-Systemen zur biometrischen Identifizierung und Kategorisierung regeln. Danach werden KI-Systeme zur biometrischen Echtzeit-Identifizierung als Hochrisiko-KI-Systeme eingestuft (siehe ANHANG III HOCHRISIKO-KI-SYSTEME GEMÄẞ ARTIKEL 6 ABSATZ 2) und sind in öffentlichen Räumen grundsätzlich verboten. Ausnahmen für Strafverfolgungsbehörden sollen nur in bestimmten Einzelfällen gelten.

Der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) fordern in einem Arbeitspapier zum KI-Entwurf sogar ein

„allgemeine(s) Verbot der Verwendung von KI zur automatischen Erkennung von personenbezogenen Merkmalen in öffentlich zugänglichen Räumen, und zwar in jeglichem Zusammenhang; solche Merkmale sind z. B. Gesichtszüge, aber auch Gangart, Fingerabdrücke, DNA, Stimme, Tastenanschlagsmuster und andere biometrische Merkmale oder Verhaltenssignale“.

Inwieweit sich die Forderungen des EDSA und des EDSB im Laufe des Gesetzgebungsverfahrens durchsetzen werden, bleibt abzuwarten.

Für KI-Systeme, die einer biometrischen Kategorisierung z.B. nach Geschlecht, Alter, Haarfarbe, Augenfarbe, Tätowierung, ethnischer Herkunft oder sexueller oder politischer Ausrichtung dienen, sollen zukünftig bestimmte Transparenzpflichten gelten (siehe Artikel 52 des KI-Entwurfs). Danach müssen die Verwender über den Betrieb des KI-Systems informiert werden.

Praxis-Empfehlung und internationale Perspektive

Wer plant, biometrische Daten von Kunden oder Arbeitnehmern zu verarbeiten, sollte sich absichern und die Einsatzmöglichkeiten rechtlich prüfen lassen, um Bußgelder, Schadensersatzansprüche und Reputationsverlust zu vermeiden.

Weitere Informationen dazu mit den Datenschutzregelungen innerhalb der EU zum Thema biometrische Daten finden Sie zudem in unserem Beitrag ,,Risky business: Privacy and biometric data‘‘. 

Darin enthalten ist auch eine Videokonferenz zum Thema von Baker Tilly Brasil.