Biometrische Zutrittskontrollen in Unternehmen – Zwischen Hochsicherheit und Datenschutz

Immer mehr Unternehmen setzen im Rahmen der Zwei-Faktor-Authentisierung auf biometrische Zutrittskontrollen, um besonders sensible Bereiche zu sichern. Ihre datenschutzrechtliche Zulässigkeit ist jedoch an strenge Voraussetzungen geknüpft, die in der Praxis häufig unterschätzt werden. Der vorliegende Beitrag beleuchtet, welche rechtlichen Anforderungen die DSGVO an den Einsatz biometrischer Zutrittskontrollen stellt und worauf Verantwortliche zwingend achten müssen.

Fingerabdruck, Handvenen, Gesicht oder Iris?

Unabhängig davon, für welches Merkmal sich Unternehmen entscheiden, so handelt es sich bei der Erhebung von Fingerabdrücken, Handvenenmustern, Gesichtsbildern sowie Irisstrukturen einer Person zum Zweck der eindeutigen Identifizierung (Erkennung) dieser Person um biometrische Daten im Sinne des Art. 4 Nr. 14 DSGVO und damit um besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO.

Biometrische Daten sind nach der Definition in Art. 4 Nr. 14 DSGVO:

„mit speziellen technischen Verfahren gewonnene personenbezogene Daten
zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person,
die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen.“ (Hervorhebungen durch die Autorin)

Sowohl Fingerabdrücke, Handvenen, Gesicht als auch Iris sind grundsätzlich statische oder eben nur schwer veränderbare Merkmale einer Person, auch „Seins-Merkmal“ genannt. Werden diese „Seins-Merkmale“ mittels spezieller technischer Verfahren verarbeitet, um eine Person eindeutig zu identifizieren, wie bspw. der Scan von Fingerabdrücken/Handvenenmustern, das Erstellen biometrischer Charakteristika des Gesichts (Gesichtsbilder) oder Aufnahmen der Irisstrukturen einer Person (vgl. Positionspapier der DSK, S. 20 f.) unterfallen sie zwingend dem Schutzbereich des Art. 9 Abs. 1 DSGVO. Daran ändert sich auch nichts, wenn technisch lediglich Templates – also mathematisch abgeleitete Muster – anstelle von Rohdaten erhoben und gespeichert werden.

Die praktische Konsequenz ist erheblich: Die Verarbeitung dieser Daten ist grundsätzlich verboten, sofern keine der Ausnahmen des Art. 9 Abs. 2 DSGVO greift. Wenn keine Rechtsgrundlage in Art. 9 Abs. 2 DSGVO greift, bleibt ausschließlich die Einwilligung des Betroffenen. Für Beschäftigte gilt zusätzlich § 26 Abs. 2, Abs. 3 S. 2 BDSG.

Rechtsgrundlage

Im Folgenden wird danach differenziert, ob die biometrische Zutrittskontrolle verpflichtend oder freiwillig eingeführt wird. Sollen biometrische Zutrittskontrollen verpflichtend eingeführt werden, kann die Datenverarbeitung nicht auf eine Einwilligung gestützt werden. Greift keine der in Art. 9 Abs. 2 lit. b bis j DSGVO genannten Rechtsgrundlagen, bleibt allerdings nur noch die Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO übrig.

Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG

Verpflichtende biometrische Zutrittskontrollen für eigene Beschäftigte können, sofern keine andere Rechtsgrundlage aus Art. 9 Abs. 2 lit. c bis j (auch in Verbindung mit nationalen Gesetzen) greift, je nach Einzelfall auf Art. 9 Abs. 2 lit. b DSGVO i.V.m. § 26 Abs. 3 BDSG gestützt werden. Die biometrische Datenverarbeitung muss allerdings erforderlich sein, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann. So führt die DSK in ihrem Positionspapier aus, dass grundsätzlich biometrische Daten im betrieblichen Kontext bei der Zugangsberechtigung zu besonders schützenswerten Bereichen zum Einsatz kommen können. Dabei ist jedoch das Erforderlichkeitsprinzip in diesem Bereich eng auszulegen (vgl. Positionspapier der DSK, S. 23).

D. h. es muss eine strikte Interessenabwägung stattfinden:

Unternehmensinteresse: Schutz von Leib und Leben oder Sicherung elementarer Sachwerte sowie von Geschäftsgeheimnissen.
Betroffeneninteresse: Schutz biometrischer Daten gemäß Art. 9, 4 Nr. 14 DSGVO.

Das Problem der Unveränderlichkeit: Biometrische Daten genießen einen herausragenden Stellenwert im Persönlichkeitsrecht. Im Gegensatz zu Passwörtern sind körperliche Merkmale unveränderbar. Ein Missbrauch hat für Betroffene lebenslange, irreparable Folgen. Daher muss das Schutzinteresse des Unternehmens das Integritätsinteresse der Person deutlich überwiegen.

Entscheidend für die Rechtfertigung ist daher die Sicherheitsempfindlichkeit des jeweiligen Bereichs.

Rechenzentren & Serverräume: Hier lässt sich die Erforderlichkeit oft begründen, sofern dort hochsensible Daten gehostet werden und der Zutritt auf einen kleinen, exakt definierten Personenkreis beschränkt ist. Einen Automatismus („Serverraum = Biometrie“) gibt es jedoch nicht.
Sensible Bereiche: Hier ist Vorsicht geboten. Werden dort lediglich Gespräche geführt, sind oft mildere Mittel (z. B. Abhörschutz-Technik) vorrangig. Nur wenn dort physisch besonders geschützte Werte oder Dokumente gelagert werden, ist Biometrie denkbar.
Allgemeine Bürobereiche: Die Nutzung biometrischer Scanner für den allgemeinen Zutritt ist i. d. R. unzulässig. Dies bestätigt auch eine Bußgeldentscheidung aus den Niederlanden.

Kann die Erforderlichkeit nicht zweifelsfrei begründet werden, bleibt nur die Einwilligung übrig.

Für externe Personen kann die verpflichtende Verarbeitung biometrischer Daten zum Zweck der Zutrittskontrolle bspw. auf Art. 9 Abs. 2 lit. g DSGVO i.V.m. § 22 Abs. 1 Nr. 1 lit. a, b oder c BDSG gestützt werden. Dies setzt ebenfalls ein überwiegendes Unternehmensinteresse voraus. Selbst bei Unternehmen, die als kritische Infrastruktur (KRITIS) eingestuft sind, rechtfertigt dieser Status nicht automatisch biometrische Kontrollen im gesamten Haus. Es muss dezidiert nachgewiesen werden, dass der konkrete Bereich für die Aufrechterhaltung der kritischen Dienstleistung essenziell ist.

Art. 9 Abs. 2 lit. a DSGVO – Einwilligung

Greift keine Rechtsgrundlage nach Art. 9 Abs. 2 lit. b bis j DSGVO, ist die ausdrückliche Einwilligung der betroffenen Person einzuholen. Für Beschäftigte gelten zusätzlich die erhöhten Anforderungen des § 26 Abs. 2, Abs. 3 S. 2 BDSG.

Besonders im vorliegenden Kontext sollte folgendes im Rahmen der Einholung der Einwilligung berücksichtigt werden:

Ex-ante-Einholung: Die Einwilligung muss zwingend vor dem „Einlernvorgang“ eingeholt werden. Eine rückwirkende Einholung der Einwilligung legitimiert die bis dahin stattgefundene Datenverarbeitung nicht.
Transparenz: Es bedarf einer umfassenden Information gemäß Art. 13, 7 DSGVO. Insbesondere ist detailliert über Zweck und Art der Datenverarbeitung sowie der konkreten Datenkategorien, welche verarbeitet werden sollen, zu informieren.
Freiwilligkeit: Die Einwilligung muss freiwillig sein. Der Betroffene muss eine echte Wahlmöglichkeit haben. Praxistipp: Bieten Sie eine nicht-biometrische Alternative an (z. B. RFID-Karte oder Begleitung durch Personal), um die Freiwilligkeit abzusichern.

Weitere datenschutzrechtliche Anforderungen

Unabhängig davon, ob die Datenverarbeitung auf eine Norm aus Art. 9 Abs. 2 lit. b bis j DSGVO oder auf eine Einwilligung gestützt wird, sind folgende Anforderungen stets umzusetzen:

Transparenz: Betroffene müssen gemäß Art. 13 DSGVO vor Beginn der Verarbeitung vollumfänglich informiert werden. Bestehende Datenschutzinformationen für Beschäftigte oder externe Personen decken die Verarbeitung biometrischer Daten i. d. R. nicht ab und müssen entsprechend ergänzt werden. Bei der Einwilligung muss ohnehin ein separates Dokument erstellt werden.
Zweckbindung: Biometrische Daten – ob Fingerabdruck, Handvenenmuster, Gesichts- oder Irisdaten – dürfen ausschließlich zum Zweck der Zutrittskontrolle in den definierten Sicherheitsbereichen verarbeitet werden. Jede darüber hinausgehende Nutzung ist unzulässig und technisch zu unterbinden.
Datenminimierung: Verantwortliche sollten auf das Speichern von Rohdaten verzichten und mathematische Templates anstelle von tatsächlichen Bildern verwenden.
Löschung: Biometrische Daten sind unverzüglich zu löschen, sobald die Berechtigung entfällt. Wo keine automatisierte Löschung erfolgt, besteht ein erhebliches Risiko von Löschversäumnissen. Bei einwilligungsbasierter Verarbeitung ist die Löschung zusätzlich beim Widerruf sicherzustellen.
Dezentrale Speicherung: Der LfD Niedersachsen bewertet die zentrale Speicherung biometrischer Templates – auch innerhalb eines Konzernverbunds – als datenschutzrechtlich weniger vorzugswürdig gegenüber einer dezentralen Speicherung, etwa auf der Mitarbeiterkarte. Dies sollte bei der Systemausgestaltung geprüft werden.
Verschlüsselung: Templates müssen auf Servern verschlüsselt abgelegt werden. Die Standards sind laufend auf ihre Aktualität zu prüfen.
Zugriffskonzept: Nur Administratoren mit spezifischen Rollen dürfen Zugriff haben. Externer Wartungszugriff sollte nur im Beisein interner Mitarbeiter und auf Basis eines korrekt abgeschlossenen Auftragsverarbeitungsvertrags gemäß Art. 28 Abs. 3 DSGVO erfolgen.
Datenschutz-Folgenabschätzung (DSFA): Da biometrische Systeme zur Zutrittskontrolle auf der „Blacklist“ der DSK stehen, ist eine DSFA zwingend vor Aufnahme des Betriebs durchzuführen. Hierbei müssen die spezifischen Risiken identifiziert und wirksame Abhilfemaßnahmen (TOMs) dokumentiert werden.

Fazit

Pauschale biometrische Zutrittskontrollen sind nicht DSGVO-konform. Die Erforderlichkeit ist für jeden einzelnen Bereich individuell und schlüssig zu begründen sowie zu dokumentieren. Zudem sollte nur ein kleiner Kreis an Mitarbeitern betroffen sein. Kommt keine Rechtsgrundlage in Frage, bedarf die Erfassung biometrischer Daten zum Zweck der Zutrittskontrolle stets der Einwilligung des Betroffenen.

Nadine Rosenberger | 6. Mai 2026 | Allgemein, Beschäftigtendatenschutz | BDGS, Beschäftigte, Besonderen Kategorien personenbezogener Daten, biometrische Daten, DSFA, DSGVO, Einwilligung, Fingerabdruck, Interessenabwägung, KRITIS, Seins-Merkmale, Sicherheitsbereich, Templates, Unternehmen, Zutrittkontrolle, Zwei-Faktor-Authentisierung