Immer häufiger werden sowohl im beruflichen Kontext, als auch im öffentlichen Rahmen biometrische Daten verarbeitet.
Eine Beanstandung durch datenschutzrechtliche Aufsichtsbehörden ist hier keine Seltenheit. So hat beispielsweise die italienische Aufsichtsbehörde (Garante per la protezione dei dati personali) Bußgelder gegen mehrere Verantwortliche verhängt. Anlass war die Nutzung einer Gesichtserkennungssoftware, die auf Baustellen kontrollierte, ob die Beschäftigten zur Arbeit erscheinen. Hierzu mussten sich die Mitarbeitenden der am Bau beteiligten Firmen mit einer individuellen ID anmelden. Auf der Baustelle scannte die Gesichtserkennungssoftware das Gesicht des Angestellten und glich diese ab. Die Maßnahme wurde laut Aussage der verantwortlichen Unternehmen unter anderem deswegen eingeführt, da es zu großen Diskrepanzen bei der Zeitenerfassung gekommen sei, was die Unternehmen unter anderem auf betrügerisches Verhalten zurückführten. Gegen diese Praxis erhoben Beschäftigte von mehreren Firmen, die alle auf der Baustelle tätig waren, Beschwerde bei der italienischen Aufsichtsbehörde. Insbesondere kritisierte diese, dass, frei nach dem Motto „der Zweck heiligt (nicht) die Mittel“, nicht jede Möglichkeit zur Zielerreichung auch verhältnismäßig sei.
Auch wurde moniert, dass die Unternehmen keine Datenschutzfolgenabschätzung gem. Art. 35 DSGVO durchgeführt hätten, die regelmäßig vor der Verarbeitung von biometrischen Daten vorzunehmen ist.
Voraussetzungen für die Verarbeitung von biometrischen Daten
Im Rahmen der Verarbeitung von biometrischen Daten gilt es zu beachten, dass diese nur unter den strengen Voraussetzungen des Art. 9 DSGVO verarbeitet werden dürfen. Dieser verbietet die Verarbeitung der unter Abs. 1 genannten Daten grundsätzlich und erlaubt diese nur für bestimmte Sachverhalte. So ist eine Verarbeitung nur dann nicht nach Art. 9 Abs. 1 DSGVO verboten, wenn ein Ausnahmetatbestand nach Absatz 2 der Norm vorliegt. Diese Tatbestände werden von Gerichten und Aufsichtsbehörden sehr restriktiv angewandt, da eine Verarbeitung von Daten, die dieser Kategorie angehören, besonders geeignet ist, das Grundrecht auf informationelle Selbstbestimmung einzuschränken.
Für den Einsatz der Gesichtserkennungssoftware sei laut Behörde keiner der Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO als Rechtsgrundlage möglich. Insbesondere sei eine Erforderlichkeit gem. Art. 9 Abs. 2 lit. b DSGVO vorliegend nicht gegeben. Dieser sieht eine Verarbeitung von besonderen personenbezogenen Daten als dann nicht verboten an, wenn der
[…] Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist […]
Insbesondere wurde moniert, dass die Unternehmen nicht dargelegt hätten, dass andere Maßnahmen ergriffen worden seien und sich als völlig untauglich herausgestellt hätten, um die geleisteten Arbeitsstunden zu zählen und die Anwesenheit festzustellen. Hier würden sich beispielsweise automatische Kontrollen mit Ausweisen oder direkte Kontrollen der Beschäftigten anbieten. Darüber hinaus lässt das Vorgehen, laut Aufsichtsbehörde, auch insbesondere an der Verhältnismäßigkeit der Maßnahme zweifeln, da in die Beurteilung stets einfließen muss, ob das konkret gewählte Mittel hinsichtlich des verfolgten Zwecks angemessen ist. Hier hätten demnach die spezifischen Risiken für die Rechte und Freiheiten der Beschäftigten berücksichtigt werden müssen, die mit der Verwendung einer biometrischen Gesichtserkennungssoftware einhergehen.
Vor der Verarbeitung besonderer Kategorien personenbezogener Daten muss neben der Prüfung zur Rechtmäßigkeit auch immer an die weiteren allgemeinen Grundsätze aus Art. 5 DSGVO und formale Vorgaben gedacht werden. So sind auch die Nichtdurchführung einer Datenschutzfolgenabschätzung gem. Art. 35 DSGVO, die Nichtaufnahme eines Verfahrens in das Verzeichnis von Verarbeitungstätigkeiten gem. Art 30 DSGVO oder das Nicht-Informieren von betroffenen Personen gem. Art 13 und 14 DSGVO, nach Art. 83 DSGVO bußgeldbewehrt.
Im konkreten Fall half den Unternehmen auch nicht, dass sich der Hersteller der Gesichtserkennungssoftware als „DSGVO-konform“ bezeichnete.
Denn gem. Art. 24 DSGVO trifft die Rechenschaftspflicht stets den Verantwortlichen. Dies lässt sich nicht delegieren.
Fazit
Zusammenfassend lässt sich sagen, dass in der Beratungspraxis häufig der Einwand fällt, dass doch aufgrund eines – meist unstreitig bestehenden berechtigten Interesses des Verantwortlichen – eine Verarbeitung doch möglich sein müsse. Allerdings wird dabei oft vergessen, dass nicht jedes Mittel, sei es auch noch so gut zur Zweckerreichung geeignet, gegenüber den von der Verarbeitung betroffenen Personen auch verhältnismäßig ist.
Daher sind insbesondere invasive Verarbeitungen oder Verarbeitungen, die besondere personenbezogene Daten gem. Art. 9 DSGVO beinhalten, VOR dem Einsatz der entsprechenden Technologie – datenschutzrechtlich auf Herz und Nieren zu prüfen.