Niemand merkt sich gerne Passwörter… Microsoft bietet hierfür als Ersatz die Funktion „Microsoft Hello“ bei der Windows Anmeldung an. Damit soll das lästige Merken des Passwortes durch das Hinhalten des Gesichts, Auges oder Fingerabdrucks ersetzt werden können. Das klingt alles erstmal ganz schön. Dabei stellt sich aber spätestens bei der Aktivierung der Funktion die Frage: Wie ist das Ganze eigentlich datenschutzrechtlich zu bewerten?

Diese Frage dürfte insbesondere für Arbeitgeber interessant sein, die den Mitarbeitern dieses Feature nicht vorenthalten wollen.

Datenschutz im Arbeitsverhältnis

Zunächst bedarf es einer Rechtsgrundlage dieser Datenverarbeitung. Durch Nutzung der Windows-Funktion „Hello“ werden vom mobilen Endgerät biometrische Daten (Fingerabdruck, Gesicht, Iris) verarbeitet, in dem diese zunächst erhoben und danach verschlüsselt auf dem Gerät gespeichert werden. Bei biometrischen Daten handelt es sich um eine besondere Kategorie personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO, deren Verarbeitung unzulässig ist, sofern nicht eine Ausnahme nach Abs. 2 der Vorschrift die Verarbeitung erlaubt.

 

In Betracht kommt hier die rechtmäßige Verarbeitung durch Einholung einer Einwilligung des Beschäftigten nach Art. 9 Abs. 2 lit. a DSGVO i.V.m. Art. 88 DSGVO i.V.m. § 26 Abs. 3 S. 2 und Abs. 2 BDSG. Diese muss sich dabei ausdrücklich auf die biometrischen Daten beziehen und freiwillig erteilt werden.

Im Rahmen der korrekten Einholung der Einwilligung des Betroffenen ist der Arbeitgeber als Verantwortlicher nach § 26 Abs. 2 S. 3 BDSG zudem neben den allgemeinen Informationspflichten aus Art. 13 DSGVO dazu verpflichtet, den Beschäftigten über den Zweck der Datenverarbeitung und über sein Widerrufsrecht in Textform aufzuklären. Hierbei ist auch darüber zu informieren, dass eine Verarbeitung personenbezogener Daten durch Microsoft Inc. stattfinden kann. Laut Microsoft werden aber nicht direkt durch „Hello“ die biometrischen Daten verarbeitet, sondern diese nur auf dem betroffenen mobilen Endgerät verschlüsselt gespeichert. Hierzu führt Microsoft auf der Webseite folgendes aus (vgl. hier):

Welche Daten werden gesammelt und warum?

Wenn Sie Windows Hello einrichten, wird anhand der vom Gesichts-, Iris oder Fingerabdrucksensor erfassten Informationen eine Darstellung dieser Daten (kein Bild, eher ein Diagramm) erstellt und verschlüsselt auf Ihrem Gerät gespeichert.

Um Betrug zu erkennen bzw. zu verhindern und um Windows Hello weiter zu verbessern, sammeln wir Informationen darüber, wie Benutzer Windows Hello verwenden. Beispielsweise interessiert uns, ob sich Benutzer mit einer PIN oder mit Gesichts-, Iris- oder Fingerabdruckerkennung anmelden, wie oft das der Fall ist und ob alles korrekt funktioniert. Das sind wichtige Informationen, die uns helfen, das Produkt zu verbessern. Aus diesen Daten werden jegliche Informationen entfernt, mit denen Sie identifiziert werden könnten. Zudem werden die Daten vor der Übermittlung an Microsoft verschlüsselt.

Rechtsunsicherheit im internationalen Datenschutzrecht

Da nicht sichergestellt werden kann, dass die Daten tatsächlich durch Microsoft anonymisiert und nicht nur pseudonymisiert verarbeitet werden, sollte über die Datenverarbeitung im Rahmen der Betrugserkennung und Systemverbesserung durch Microsoft auch in dem Informationsschreiben aufgeklärt werden. In diesem Kontext ist dann auch darüber zu informieren, dass eine Datenverarbeitung in einem Drittland (USA) erfolgt und dass die sichere Datenverarbeitung durch Microsoft Inc. durch das EU-US Privacy Shield (derzeit) gewährleistet ist.

Zudem ist angesichts des „Cloud Acts“ ein Zugriff auf die Mitarbeiterdaten durch Stellen/Behörden der USA im Wege von Ermittlungsverfahren denkbar. Da ein solcher Zugriff gegen die DSGVO verstößt, US-Unternehmen sich des Zugriffs durch den Cloud Act aber nicht entziehen können, ist eine völlig rechtssichere Zusammenarbeit mit US-Unternehmen derzeit kaum möglich.

Fazit:

Da es zu einer Verarbeitung der verschlüsselten biometrischen Daten auf dem mobilen Client kommt, die der Arbeitgeber bereitstellt, sollte der Beschäftige zur Implementierung/Nutzung der Funktion eine Einwilligung in die Datenverarbeitung unterzeichnen. Darüber hinaus bietet es sich an, den Beschäftigten im Rahmen der Einholung der Einwilligung umfassend über die Datenverarbeitung durch „Hello“ aufzuklären und eine separate Information hierüber für den Beschäftigten nach Erteilung der Einwilligung bereitzuhalten.