Biometriche Daten

Ein Unternehmen wurde in Holland von der dortigen Aufsichtsbehörde mit einem Bußgeld in Höhe von 725.000 € belegt, aufgrund des Verstoßes gegen Informationspflichten und da nach Ansicht der Aufsichtsbehörde für die Verarbeitung es an einer zulässigen Rechtsgrundlage fehlte. Dies gab die Behörde am 30.April 2020 über ihre Internetseite bekannt.

Das Unternehmen hat im Rahmen der Zutrittskontrolle ein neues System eingesetzt, dass die bisher gängigen Zutrittskarten durch einen Fingerabdruckscanner ersetzte. Da es sich bei Fingerabdrücken um biometrische Daten gemäß Art. 4 Nr. 14 DSGVO handelt, sind diese Daten als besondere personenbezogenen Daten im Sinne des Art. 9 DSGVO anzusehen.

Auf diesen Umstand wiesen einige Mitarbeiter die Aufsichtsbehörde hin, die daraufhin eine Untersuchung im Unternehmen vornahm. Die Behörde stellte bei der Untersuchung interner Dokumente im Unternehmen fest, dass von den ca. 340 betroffenen Mitarbeitern jeweils 4 Fingerabdrücke abgegeben wurden, insgesamt ca. 1.350. Das Unternehmen versäumte es aber, die Betroffenen entsprechend des Art. 13 DSGVO umfassend zu informieren und verstieß somit gegen auch gegen Art. 5 DSGVO, den Grundsatz der Transparenz.

Auch wurde die Rechtmäßigkeit der Verarbeitung geprüft. Grundsätzlich ist die Verarbeitung besonderer personenbezogener Daten gemäß Art. 9 Abs. 1 DSGVO untersagt. Von diesem Verbot kann nur abgewichen werden, wenn eine Ausnahme nach Art. 9 Abs. 2 DSGVO greift. Die Befragung der Betroffenen durch die Aufsichtsbehörde führte zu der Ansicht, dass eine notwendige Rechtsgrundlage, z.B. eine Einwilligung nicht bzw. nicht entsprechend der Voraussetzungen vorlag. Zwar soll es vereinzelte mündliche Einwilligung gegeben haben bzw. Verweise auf die jeweiligen Arbeitsverträge.

Das Unternehmen sah als Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten Art. 9 Abs. 2 lit. a) DSGVO als gegeben an, aufgrund einer entsprechenden Einwilligung der Mitarbeiter. Eine solche Einwilligung kann nur unter den Gesichtspunkten des Art. 7 DSGVO wirksam sein. Insbesondere auf die Freiwilligkeit der Einwilligung kommt es hier an, gerade in einem Arbeitsverhältnis und bei der Verarbeitung von besonderen Kategorien personenbezogenen Daten. Die holländische Aufsichtsbehörde ist der Meinung, dass eine solche Freiwilligkeit im Rahmen eines Arbeitsverhältnisses nicht bestehen kann, da ein klares Ungleichgewicht zwischen Arbeitgeber und Arbeitnehmer bestehe. Dies insbesondere, da in diesem Fall die Verarbeitung von besonderen personenbezogenen Daten erfolgte und auch die notwendigen Informationspflichten und ebenso der Hinweisgemäß Art. 7 Abs. 3 DSGVO auf die Widerruflichkeit der Einwilligung durch den Arbeitgeber nicht erbracht wurden.

Eine Einwilligung im Rahmen eines Arbeitsverhältnisses ist per se nicht unmöglich, aber rechtspolitisch dennoch auf europäischer als auch nationaler Ebene sehr umstritten. Bei der Verarbeitung von besonderen personenbezogenen Daten ist an die Freiwilligkeit sehr hohe Anforderungen zu stellen. Eine solche Einwilligung darf nicht auf der Grundlage einer Zwangslage oder Druck auf den Arbeitnehmer erfolgen und zugleich muss die Freiwilligkeit und Widerruflichkeit sichergestellt sein.

In solchen Fällen empfiehlt sich in Deutschland der Rückgriff auf Kollektivverträge bzw. Betriebsvereinbarungen. Diese können gemäß § 26 Abs. 4 BDSG eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten schaffen. Dabei hat der Verantwortliche die Grundsätze des Art. 88 DSGVO zu beachten und zudem unterliegt eine solche Betriebsvereinbarung der Verhältnismäßigkeitskontrolle.

Nicht überliefert ist, ob das Unternehmen vorab eine notwendige Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO mit ihrem Datenschutzbeauftragten vornahm und folglich im Rahmen dieser Datenschutzfolgeabschätzung eine Risikoabschätzung bezüglich der Rechte und Freiheiten der Mitarbeiter. Eine vorab Anfrage an die Aufsichtsbehörde im Rahmen dieser Datenschutzfolgenabschätzung wird es sehr wahrscheinlich nicht gegeben haben.

Mehr dazu (leider auf Holländisch)

So erreichen Sie uns

Adresse
Aachener Straße 75
50931 Köln
©LR Datenschutz GmbH