Niemand merkt sich gerne Passwörter… Microsoft bietet hierfür als Ersatz die Funktion „Microsoft Hello“ bei der Windows Anmeldung an. Damit soll das lästige Merken des Passwortes durch das Hinhalten des Gesichts, Auges oder Fingerabdrucks ersetzt werden können. Das klingt alles erstmal ganz schön. Dabei stellt sich aber spätestens bei der Aktivierung der Funktion die Frage: Wie ist das Ganze eigentlich datenschutzrechtlich zu bewerten?
Diese Frage dürfte insbesondere für Arbeitgeber interessant sein, die den Mitarbeitern dieses Feature nicht vorenthalten wollen.
Datenschutz im Arbeitsverhältnis
Zunächst bedarf es einer Rechtsgrundlage dieser Datenverarbeitung. Durch Nutzung der Windows-Funktion „Hello“ werden vom mobilen Endgerät biometrische Daten (Fingerabdruck, Gesicht, Iris) verarbeitet, in dem diese zunächst erhoben und danach verschlüsselt auf dem Gerät gespeichert werden. Bei biometrischen Daten handelt es sich um eine besondere Kategorie personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO, deren Verarbeitung unzulässig ist, sofern nicht eine Ausnahme nach Abs. 2 der Vorschrift die Verarbeitung erlaubt.
In Betracht kommt hier die rechtmäßige Verarbeitung durch Einholung einer Einwilligung des Beschäftigten nach Art. 9 Abs. 2 lit. a DSGVO i.V.m. Art. 88 DSGVO i.V.m. § 26 Abs. 3 S. 2 und Abs. 2 BDSG. Diese muss sich dabei ausdrücklich auf die biometrischen Daten beziehen und freiwillig erteilt werden.
Im Rahmen der korrekten Einholung der Einwilligung des Betroffenen ist der Arbeitgeber als Verantwortlicher nach § 26 Abs. 2 S. 3 BDSG zudem neben den allgemeinen Informationspflichten aus Art. 13 DSGVO dazu verpflichtet, den Beschäftigten über den Zweck der Datenverarbeitung und über sein Widerrufsrecht in Textform aufzuklären. Hierbei ist auch darüber zu informieren, dass eine Verarbeitung personenbezogener Daten durch Microsoft Inc. stattfinden kann. Laut Microsoft werden aber nicht direkt durch „Hello“ die biometrischen Daten verarbeitet, sondern diese nur auf dem betroffenen mobilen Endgerät verschlüsselt gespeichert. Hierzu führt Microsoft auf der Webseite folgendes aus (vgl. hier):
Welche Daten werden gesammelt und warum?
Wenn Sie Windows Hello einrichten, wird anhand der vom Gesichts-, Iris oder Fingerabdrucksensor erfassten Informationen eine Darstellung dieser Daten (kein Bild, eher ein Diagramm) erstellt und verschlüsselt auf Ihrem Gerät gespeichert.
Um Betrug zu erkennen bzw. zu verhindern und um Windows Hello weiter zu verbessern, sammeln wir Informationen darüber, wie Benutzer Windows Hello verwenden. Beispielsweise interessiert uns, ob sich Benutzer mit einer PIN oder mit Gesichts-, Iris- oder Fingerabdruckerkennung anmelden, wie oft das der Fall ist und ob alles korrekt funktioniert. Das sind wichtige Informationen, die uns helfen, das Produkt zu verbessern. Aus diesen Daten werden jegliche Informationen entfernt, mit denen Sie identifiziert werden könnten. Zudem werden die Daten vor der Übermittlung an Microsoft verschlüsselt.
Rechtsunsicherheit im internationalen Datenschutzrecht
Da nicht sichergestellt werden kann, dass die Daten tatsächlich durch Microsoft anonymisiert und nicht nur pseudonymisiert verarbeitet werden, sollte über die Datenverarbeitung im Rahmen der Betrugserkennung und Systemverbesserung durch Microsoft auch in dem Informationsschreiben aufgeklärt werden. In diesem Kontext ist dann auch darüber zu informieren, dass eine Datenverarbeitung in einem Drittland (USA) erfolgt und dass die sichere Datenverarbeitung durch Microsoft Inc. durch das EU-US Privacy Shield (derzeit) gewährleistet ist.
Zudem ist angesichts des „Cloud Acts“ ein Zugriff auf die Mitarbeiterdaten durch Stellen/Behörden der USA im Wege von Ermittlungsverfahren denkbar. Da ein solcher Zugriff gegen die DSGVO verstößt, US-Unternehmen sich des Zugriffs durch den Cloud Act aber nicht entziehen können, ist eine völlig rechtssichere Zusammenarbeit mit US-Unternehmen derzeit kaum möglich.
Fazit:
Da es zu einer Verarbeitung der verschlüsselten biometrischen Daten auf dem mobilen Client kommt, die der Arbeitgeber bereitstellt, sollte der Beschäftige zur Implementierung/Nutzung der Funktion eine Einwilligung in die Datenverarbeitung unterzeichnen. Darüber hinaus bietet es sich an, den Beschäftigten im Rahmen der Einholung der Einwilligung umfassend über die Datenverarbeitung durch „Hello“ aufzuklären und eine separate Information hierüber für den Beschäftigten nach Erteilung der Einwilligung bereitzuhalten.
Thorsten
18. November 2019 @ 9:56
Erweitern wir noch mal das Beispiel etwas. Stellen wir uns vor auf dem Endgerät werden selbst personenbezogenen Daten gespeichert. Ist dann nicht der Arbeitgeber (gemäß dem Stand der Technik) dazu verpflichtet den Finger/Gesicht/was-auch-immer-Scan einzurichten, um die dort gespeicherten Daten optimal zu schützen?
Anonymous
7. November 2019 @ 14:30
Die in dem Artikel geschilderte Einschätzung teilen m. W. aber die Aufsichtsbehörden nicht, sofern nicht das Anmelden per Fingerabdruck/Irisscan/etc. (gilt für Laptops o. ä. ja ebenso) die einzige Variante des Anmeldens ist. Es basiert damit auf völliger Freiheit des Einzelnen, diese weiteren biometrischen Anmeldemöglichkeiten zu nutzen, so dass eine Einwilligung gegenüber dem Arbeitgeber gar nicht nötig ist.
Conrad Conrad
7. November 2019 @ 15:17
Hallo,
vielen Dank für den Kommentar.
Hier sind einige unterschiedliche Ansätze. Zum einen lässt es sich sicherlich technisch lösen, dass die biometrischen Daten (z.B. apple Fingerprint) lokal und in einer gesicherten Umgebung des Geräts verarbeitet werden, auf die unter normalen Umständen keine andere Person (auch nicht der IT-Verantwortliche des Arbeitgebers) zugreifen kann, quasi: blackbox System. Dann ist es unbillig von einer Datenverarbeitung des Arbeitgebers auszugehen, eventuell ist es dann sogar dem Nutzer persönlich zuzurechnen.
Des Weiteren kann überlegt werden, dieses durch eine Smartphone-Richtlinie zu regeln, so dass der Arbeitnehmer beispielsweise bei Rückgabe des Smartphones selbiges auf Werkseinstellung zurücksetzen muss, also der Arbeitgeber auch nie wirklich auf diese Daten zugreifen kann unter normalen Umständen.
Dann ist es so, dass es dem Arbeitnehmer „freiwillig“ angeboten werden kann, wobei wir selbst dann je nach technischer Ausgestaltung davon ausgehen müssen, dass die Datenverarbeitung durch den Arbeitgeber (der die Geräte stellt und einen Zugriff darauf hat) nur auf Grundlage der Einwilligung des Betroffenen (Arbeitnehmers) im Sinne von Art. 9 Abs. 2 lit. a) DSGVO erfolgen kann. Eine andere Rechtsgrundlage dürfte allgemein nicht einschlägig sein.
Das ganze ist aber sehr komplex und jede technische Ausgestaltung beeinflusst die Rechtslage. Wir betrachten alles hier natürlich daher etwas abstrakter.
Mit besten Grüßen,
Conrad S. Conrad
Anonymous
7. November 2019 @ 13:35
Ist das Ihr Ernst? Beispielweise bei Apple nicht anders. Demnach müsste ein Arbeitgeber ja praktisch bei jedem dienstlich zur Verfügung gestellten Gerät, welches beispielsweise über einen nutzbaren Fingerabdrucksensor verfügt (also die meisten aktuellen Smartphones), entsprechende Informationen zur Verfügung stellen und Einwilligungen einholen.
MS
7. November 2019 @ 14:55
genauso ist es (aber)
Stefan
7. November 2019 @ 11:19
Nein warum? Mittels Einwilligung wie oben beschrieben ist die Verwendung nicht illegal. Ob der Mitarbeiter alles ließt oder einfach nur unterschreibt ist nicht das Problem des Arbeitgebers….
Anonymous
11. November 2019 @ 11:49
Falsch. Es stellt sich die Frage, ob dann die Einwilligung noch freiwillig abgegeben worden ist, wenn es nur eine Alternative gibt.
Johannes
6. November 2019 @ 12:45
Das ist ja eine interessante Logik:
„Zudem ist angesichts des „Cloud Acts“ ein Zugriff auf die Mitarbeiterdaten durch Stellen/Behörden der USA im Wege von Ermittlungsverfahren denkbar. Da ein solcher Zugriff gegen die DSGVO verstößt, US-Unternehmen sich des Zugriffs durch den Cloud Act aber nicht entziehen können, ist eine völlig rechtssichere Zusammenarbeit mit US-Unternehmen derzeit kaum möglich.“
Direkt im Anschluss wird dann eine Empfehlung gegeben, wie man die – vermutlich illegale Datenverarbeitung – dann arbeitgeberseitig „möglichst risikoarm“ gestaltet.
Wäre da nicht bei einer solchen Einschätzung die einzige *zulässige* Schlussfolgerung: Das Programm sollte *überhaupt nicht* verwendet werden?