Nutzung von Biometrischen Zugangssystemen am Arbeitsplatz

Das Wort Biometrie stammt vom Griechischen „bios“ – das Leben und von „métron“ – das Maß. Biometrie bezeichnet damit die Wissenschaft der Körpermessung an einem Lebewesen. Allgemeiner ausgedrückt ist Biometrie die Identifizierung von Menschen anhand ihrer körperlichen Merkmale. Biometrische Verfahren vermessen biologische Charakteristika wie z. B. Fingerabdrücke, Handflächen, Muster der Iris, Herzschlagmuster, Venenmuster, das Schreibverhalten oder die Stimme. Ein Algorithmus wandelt diese Merkmale in einen Datensatz (Template) um und speichert diesen elektronisch. Bei der Identitätsprüfung einer Person z. B. mittels Fingerabdruckscanner an der Eingangstür kann dann ein Abgleich zwischen den aktuellen Daten und den gespeicherten Daten erfolgen. Bei einer Übereinstimmung gewährt das biometrische Zugangskontrollsystem der betreffenden Person den Zutritt. Beim biometrischen Verfahren gibt es zwei Arten der biometrischen Erkennung von Personen, die unterschiedliche Ziele verfolgen. Zum einen die Verifikation und zum anderen die Identifikation. Die Verifikation prüft lediglich, ob die Person tatsächlich diejenige ist, für die sie sich ausgibt. Sie prüft demgemäß, ob die aktuell aufgenommenen Daten (z. B. über einen Hausausweis aufgenommene Daten auf dem die Fingerabdrücke gespeichert sind) und die gespeicherten Daten übereinstimmen (1: 1 Vergleich). Bei der Identifikation bestimmt das Zugangskontrollsystem die Person direkt über ihr biometrisches Merkmal. Für die Identifikation ist es ebenfalls notwendig, sämtliche Nutzerdaten zuvor in Referenzdatensätzen zu speichern. Eine Übereinstimmung erfolgt, wenn diese Referenzdatensätze mit den aktuellen Messwerten korrespondieren (1: n Vergleich). Die zurzeit gängigsten biometrischen Verfahren sind statische Verfahren wie z. B. Fingerabdruckerkennung, Gesichtserkennung, Augenerkennung und Venenerkennung. Vor allem in Unternehmen gewinnt der Einsatz von biometrischen Systemen zur Türentriegelung zunehmend an Relevanz. Als großen Vorteil sehen Arbeitgeber die Tatsache, dass Arbeitnehmer beim Einsatz biometrischer Systeme keine Passwörter, Sicherheitsschlüssel, RFID-Token, Magnetkarten oder Chipkarten etc. nutzen müssen und diese somit auch nicht vergessen oder verlieren.

Datenschutzrechtliche Aspekte bei der Nutzung biometrischer Zugangssysteme im Unternehmen

 Biometrische Daten unterfallen dem Bundesdatenschutzgesetz (BDSG), da sie Rückschlüsse auf eine natürliche Person ermöglichen. Sind mittels der biometrischen Daten Rückschlüsse auf Rasse oder den Gesundheitszustand möglich z. B. bei einer Gesichtskontrolle, handelt es sich zudem um sensitive Daten nach § 3 Abs. 9 BDSG, die eine ausdrückliche und freiwillige Einwilligung des Betroffenen erfordern. Für die Erhebung, Speicherung und Verarbeitung biometrischer Daten ist eine gesetzliche Grundlage oder die freiwillige und informierte Einwilligung (§ 4 Abs. 1 BDSG) des Betroffenen notwendig. Die Zulässigkeit kann sich dabei grundsätzlich aus dem Erlaubnistatbestand des § 32 Abs. 1 S. 1 BDSG ergeben. Daneben kommt noch § 28 Abs. 1 Nr. 2 BDSG in Betracht. § 28 Abs. 1 Nr. 2 BDSG wird aber von § 32 Abs. 1 S. 1 BDSG als lex specialis verdrängt und ist nur einschlägig, wenn es sich nicht um die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses handelt („beschäftigungsfremde Zwecke“) z. B. Erhebung von Kundendaten. Der Arbeitgeber darf nach § 32 Abs. 1 S. 1 BDSG personenbezogene Daten des Beschäftigten erheben, verarbeiten oder nutzen, wenn dies für Zwecke des Beschäftigungsverhältnisses erforderlich ist. Dieses Kriterium verlangt, dass beim Einsatz von Zugangskontrollen keine Sicherungsverfahren zur Verfügung stehen, welche weniger in die Rechtsposition des Beschäftigten eingreifen („milderes Mittel“) z. B. Zugangskontrolle mit spezieller Chipkarte. Die Erforderlichkeit eines biometrischen Zugangssystems am Arbeitsplatz ist generell nur dann gegeben, wenn es sich um Branchen handelt, bei denen Sicherheitsaspekte eine große Rolle spielen, insbesondere bezogenen auf Leib und Leben z. B. Hochsicherheitslabore oder Tresore die hohe Wertbeträge enthalten. Innerhalb des gesetzlichen Erlaubnistatbestandes muss zudem eine Interessenabwägung zwischen dem berechtigten Interesse des Arbeitgebers und dem schutzwürdigen Interesse des Arbeitnehmers stattfinden. Schutzwürdige Interessen des Arbeitnehmers ergeben sich aus dem Recht auf informationelle Selbstbestimmung nach Art. 2 Abs. 1 i. V. m Art. 1 Abs. 1 GG. Der Einsatz von biometrischen Zugangssystemen im Beschäftigungsverhältnis stellt einen weitreichenden Eingriff in dieses Grundrecht dar und ist deshalb nur unter engen Voraussetzungen zulässig. Der Grad der Sicherheitsempfindlichkeit der zu schützenden Einrichtung des Arbeitgebers z. B. Atomkraftwerke spielt bei der Interessenabwägung eine entscheidende Rolle. Die Zugangskontrolle durch biometrische Verfahren in normalen Bürobereichen ist deshalb regelmäßig unzulässig.

Zudem müssen immer die datenschutzrechtlichen Prinzipien eingehalten werden. Nach dem Grundsatz der Erforderlichkeit, ergänzt durch die Grundsätze der Datenvermeidung und Datensparsamkeit (§ 3 a BDSG), muss die Datenerhebung und Datenverarbeitung auf das Geringste reduziert sein. So ist es bei den meisten Zugangsberechtigungen nicht notwendig, die Ablaufdaten zu speichern. Notwendige Protokolldateien sind so schnell wie möglich zu löschen. Der Arbeitgeber darf biometrische Daten auch nur für den Zweck verwenden, zu dem er sie erhoben hat (Grundsatz der Zweckbindung). Weiterhin sind der Grundsatz der Direkterhebung und technisch-organisatorische Maßnahmen nach § 9 BDSG zu beachten.

 Was Sie bei der Einführung einer biometrischen Zutrittskontrolle beachten sollten

Bei der Einführung biometrischer Zutrittskontrollen sollten Unternehmen keine Rohdaten verwenden, die zusätzliche, nicht erforderliche Informationen über die Arbeitnehmer liefern z. B. wenn man aus dem Augenhintergrund eines Arbeitnehmers auf Diabetes schließen kann. Das System sollte deswegen nur die erwähnte Templates erheben und verarbeiten. Über die Daten sollte entweder nur der Arbeitnehmer verfügen z. B. durch Datenspeicherung auf einer Chipkarte bzw. einem Ausweis oder der Arbeitgeber sollte bei Notwendigkeit einer zentralen Speicherung besondere Sicherheitsmaßnahmen einführen z. B. durch Einsatz von Verschlüsselung. Durch diese Maßnahmen kann der Arbeitgeber Identitätsdiebstahl und Missbrauch verhindern. Des Weiteren sollte das Unternehmen seinen Datenschutzbeauftragten bei der Einführung einbinden. Der Betriebsrat hat beim Einsatz von Kontrolleinrichtungen ein Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG) und ist deshalb zwingend vom Unternehmen zu beteiligen. Der Arbeitgeber darf biometrische Verfahren nur in Kooperation mit dem Arbeitnehmer einsetzen, die verdeckte Erfassung ist unzulässig. Der Arbeitgeber muss die beteiligten Mitarbeiter umfassend über das System aufzuklären z. B. durch Informationen über das Intranet oder durch Schulungen. Biometrie darf der Arbeitgeber nicht dazu nutzen, um Bewegungs- und Verhaltensprofile zu erstellen. Die biometrische Zutrittskontrolle sollte zudem die notwendige Transparenz aufweisen.

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Beratung Datenschutzrecht

Tags: , , , , , , , , , , , , , , , , ,

Comments are closed.