DSGVO: Zugriffskontrolle mit biometrischen Daten

Die Verarbeitung von Daten im Rahmen der Zugriffskontrolle birgt Konfliktpotenzial. Eine genaue Einhaltung der in den DSGVO geregelten Vorschriften ist dringend einzuhalten - sonst wirds teuer. [...]

Die Verarbeitung biometrischer Daten ist gemäß Art. 9 Abs. 1 DSGVO grundsätzlich untersagt, außer wenn einer der Ausnahmetatbestände der DSGVO einschlägig ist (c) pixabay.com

Wie das gegen die Modekette H&M verhängte Bußgeld zeigt, spielt der Mitarbeiterdatenschutz in der DSGVO eine wichtige Rolle. Schnell zu Konflikten kommen kann es bei der Verarbeitung biometrischer Daten im Rahmen der Zugangskontrolle zu schutzbedürftigen Unternehmensdaten. Einerseits entspricht es dem betrieblichen Interesse, den Zugang zu sensiblen und wettbewerbsentscheidenden Daten durch eine biometrische Zugriffskontrolle sicher zu gestalten, andererseits müssen auch hier datenschutzrechtliche Belange der Mitarbeiter berücksichtigt werden.

Biometrische Daten sind nach Art. 4 Nr. 14 DSGVO mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische (im Fingerabdruckverfahren gewonnene) Daten.

Verbot mit Ausnahmen

Die Verarbeitung biometrischer Daten ist gemäß Art. 9 Abs. 1 DSGVO grundsätzlich untersagt, außer wenn einer der Ausnahmetatbestände der DSGVO einschlägig ist. Als solche kommen eine Einwilligung des Betroffenen, eine Verarbeitung zur Erfüllung der Pflichten des Verantwortlichen im Bereich des Arbeitsrechts oder Sozialschutzes, eine offensichtlich öffentliche Bekanntmachung der verarbeiteten Daten durch den Betroffenen oder eine Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen infrage.

In aller Regel kommt als Rechtsrundlage nur die Einwilligung des Betroffenen in Betracht. Diese muss nicht nur informiert und unmissverständlich, sondern insbesondere auch freiwillig abgegeben werden. Im Rahmen eines Beschäftigungsverhältnisses kann es an dieser Freiheit jedoch fehlen, wenn der Arbeitnehmer die Einwilligung nicht verweigern kann, ohne nachteilige Folgen befürchten zu müssen.

Unternehmen sollten deshalb die Freiwilligkeit der Einwilligungen durch geeignete Zugangsalternativen sicherstellen. Zudem muss der Verantwortliche den Informationspflichten gegenüber dem Betroffenen gerecht werden, eine Datenschutz-Folgeabschätzung durchführen sowie technische und organisatorische Maßnahmen zum Schutz vor Datenmissbrauch treffen.

35,3 Millionen Euro: Rekordbußgeld gegen H&M

Kürzlich verhängte der Hamburgische Datenschutzbeauftragte ein Rekordbußgeld in Höhe von 35,3 Millionen Euro gegen den Modehändler H&M. Grund für das Bußgeld waren Verstöße im Bereich des Mitarbeiterdatenschutzes des Unternehmens, das seit 2014 im Rahmen von „Welcome back talks“ oder Flurgesprächen gewonnene Daten über private Lebensumstände der Beschäftigten speicherte und zur Profilerstellung verwendete. 

Mildernd auf das Bußgeld wirkte sich die Tatsache aus, dass H&M vorbildlich mit der Behörde kooperierte, zahlreiche Änderungsmaßnahmen für einen erhöhten Datenschutz implementierte und den Betroffenen umgehend Schadensersatz zahlte.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*