DSGVO: Zugriffskontrolle mit biometrischen Daten

Die Verarbeitung von Daten im Rahmen der Zugriffskontrolle birgt Konfliktpotenzial. Eine genaue Einhaltung der in den DSGVO geregelten Vorschriften ist dringend einzuhalten - sonst wirds teuer. [...]

img-1
Die Verarbeitung biometrischer Daten ist gemäß Art. 9 Abs. 1 DSGVO grundsätzlich untersagt, außer wenn einer der Ausnahmetatbestände der DSGVO einschlägig ist (c) pixabay.com

Wie das gegen die Modekette H&M verhängte Bußgeld zeigt, spielt der Mitarbeiterdatenschutz in der DSGVO eine wichtige Rolle. Schnell zu Konflikten kommen kann es bei der Verarbeitung biometrischer Daten im Rahmen der Zugangskontrolle zu schutzbedürftigen Unternehmensdaten. Einerseits entspricht es dem betrieblichen Interesse, den Zugang zu sensiblen und wettbewerbsentscheidenden Daten durch eine biometrische Zugriffskontrolle sicher zu gestalten, andererseits müssen auch hier datenschutzrechtliche Belange der Mitarbeiter berücksichtigt werden.

Biometrische Daten sind nach Art. 4 Nr. 14 DSGVO mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische (im Fingerabdruckverfahren gewonnene) Daten.

Verbot mit Ausnahmen

Die Verarbeitung biometrischer Daten ist gemäß Art. 9 Abs. 1 DSGVO grundsätzlich untersagt, außer wenn einer der Ausnahmetatbestände der DSGVO einschlägig ist. Als solche kommen eine Einwilligung des Betroffenen, eine Verarbeitung zur Erfüllung der Pflichten des Verantwortlichen im Bereich des Arbeitsrechts oder Sozialschutzes, eine offensichtlich öffentliche Bekanntmachung der verarbeiteten Daten durch den Betroffenen oder eine Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen infrage.

In aller Regel kommt als Rechtsrundlage nur die Einwilligung des Betroffenen in Betracht. Diese muss nicht nur informiert und unmissverständlich, sondern insbesondere auch freiwillig abgegeben werden. Im Rahmen eines Beschäftigungsverhältnisses kann es an dieser Freiheit jedoch fehlen, wenn der Arbeitnehmer die Einwilligung nicht verweigern kann, ohne nachteilige Folgen befürchten zu müssen.

Unternehmen sollten deshalb die Freiwilligkeit der Einwilligungen durch geeignete Zugangsalternativen sicherstellen. Zudem muss der Verantwortliche den Informationspflichten gegenüber dem Betroffenen gerecht werden, eine Datenschutz-Folgeabschätzung durchführen sowie technische und organisatorische Maßnahmen zum Schutz vor Datenmissbrauch treffen.

35,3 Millionen Euro: Rekordbußgeld gegen H&M

Kürzlich verhängte der Hamburgische Datenschutzbeauftragte ein Rekordbußgeld in Höhe von 35,3 Millionen Euro gegen den Modehändler H&M. Grund für das Bußgeld waren Verstöße im Bereich des Mitarbeiterdatenschutzes des Unternehmens, das seit 2014 im Rahmen von „Welcome back talks“ oder Flurgesprächen gewonnene Daten über private Lebensumstände der Beschäftigten speicherte und zur Profilerstellung verwendete. 

Mildernd auf das Bußgeld wirkte sich die Tatsache aus, dass H&M vorbildlich mit der Behörde kooperierte, zahlreiche Änderungsmaßnahmen für einen erhöhten Datenschutz implementierte und den Betroffenen umgehend Schadensersatz zahlte.


Mehr Artikel

Otto Neuer, Regional VP und General Manager bei Denodo. (c) Denodo
Kommentar

Wie logisches Datenmanagement das ESG-Reporting vereinfacht

Mit zunehmendem Bewusstsein für Nachhaltigkeitsthemen wächst auch der Druck, den Stakeholder diesbezüglich auf Unternehmen ausüben. Gerade auf Seiten der Gesetzesgeber entstehen vermehrt Richtlinien, die „ESG“ (Enviornmental, Social und Governance)-Anliegen vorantreiben und Unternehmen zu mehr Transparenz in Form von entsprechender Berichterstattung verpflichten. […]

Frank Schwaak, Field CTO EMEA bei Rubrik (c) Rubrik
Kommentar

Wie CIOs Unternehmen als Cloud-Lotse sicher durch Daten- und Sicherheitsrisiken führen

In einer fragmentierten Infrastruktur ist es herausfordernd, den Durchblick über Daten und Kosten zu behalten. CIOs werden zu Lotsen, die das Unternehmen sicher durch die unterschiedlichen Cloud-Umgebungen steuern müssen. Was können Unternehmen also tun, um den Überblick über Cloud-Anwendungen zu behalten und den Kurs zwischen Cloud und Cyberresilienz zu halten? […]

Ass. Prof. Dr. Johannes Brandstetter, Chief Researcher bei NXAI (c) NXAI
News

KI-Forschung in Österreich: Deep-Learning zur Simulation industrieller Prozesse

Als erstes Team weltweit präsentiert das NXAI-Forscherteam um Johannes Brandstetter eine End-to-End-Deep-Learning Alternative zur Modifizierung industrieller Prozesse, wie Wirbelschichtreaktoren oder Silos. Das Team strebt schnelle Echtzeit-Simulationen an, plant den Aufbau von Foundation Models für Industriekunden und fokussiert sich im nächsten Schritt auf die Generalisierung von Simulationen. […]

img-10
News

Die besten Arbeitgeber der Welt

Great Place To Work hat durch die Befragung von mehr als 7,4 Millionen Mitarbeitenden in den Jahren 2023 und 2024 die 25 World’s Best Workplaces identifiziert. 6 dieser Unternehmen wurden auch in Österreich als Best Workplaces ausgezeichnet. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*