Mitarbeiterdatenschutz durch die DSGVO
Zugriffskontrolle mit biometrischen Daten
von
Nils
Müller - 20.11.2020
Foto: Bild: Shutterstock / ozrimoz
Die Verarbeitung von Daten im Rahmen der Zugriffskontrolle birgt Konfliktpotenzial. Eine genaue Einhaltung der in der DSGVO geregelten Vorschriften ist dringend einzuhalten - sonst wirds teuer.
Wie das gegen die Modekette H&M verhängte Bußgeld zeigt, spielt der Mitarbeiterdatenschutz in der DSGVO eine wichtige Rolle. Schnell zu Konflikten kommen kann es bei der Verarbeitung biometrischer Daten im Rahmen der Zugangskontrolle zu schutzbedürftigen Unternehmensdaten. Einerseits entspricht es dem betrieblichen Interesse, den Zugang zu sensiblen und wettbewerbsentscheidenden Daten durch eine biometrische Zugriffskontrolle sicher zu gestalten, andererseits müssen auch hier datenschutzrechtliche Belange der Mitarbeiter berücksichtigt werden.
Biometrische Daten sind nach Art. 4 Nr. 14 DSGVO mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische (im Fingerabdruckverfahren gewonnene) Daten.
Verbot mit Ausnahmen
Die Verarbeitung biometrischer Daten ist gemäß Art. 9 Abs. 1 DSGVO grundsätzlich untersagt, außer wenn einer der Ausnahmetatbestände der DSGVO einschlägig ist. Als solche kommen eine Einwilligung des Betroffenen, eine Verarbeitung zur Erfüllung der Pflichten des Verantwortlichen im Bereich des Arbeitsrechts oder Sozialschutzes, eine offensichtlich öffentliche Bekanntmachung der verarbeiteten Daten durch den Betroffenen oder eine Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen infrage.
In aller Regel kommt als Rechtsrundlage nur die Einwilligung des Betroffenen in Betracht. Diese muss nicht nur informiert und unmissverständlich, sondern insbesondere auch freiwillig abgegeben werden. Im Rahmen eines Beschäftigungsverhältnisses kann es an dieser Freiheit jedoch fehlen, wenn der Arbeitnehmer die Einwilligung nicht verweigern kann, ohne nachteilige Folgen befürchten zu müssen.
Unternehmen sollten deshalb die Freiwilligkeit der Einwilligungen durch geeignete Zugangsalternativen sicherstellen. Zudem muss der Verantwortliche den Informationspflichten gegenüber dem Betroffenen gerecht werden, eine Datenschutz-Folgeabschätzung durchführen sowie technische und organisatorische Maßnahmen zum Schutz vor Datenmissbrauch treffen.