Bußgeld: Fingerabdrücke für 725.000 Euro

Aufgrund einer fehlenden Rechtsgrundlage zur Verarbeitung der personenbezogenen Daten war es der holländischen Aufsichtsbehörde für Datenschutz wert, ein Bußgeld von 725.000 Euro zu fordern.

Was war passiert?

Schon das alte BDSG forderte in der Anlage zu § 9 explizit eine Zutrittskontrolle zu den Räumen, in denen personenbezogene Daten verarbeitet werden. Gleiches gilt auch heute mit der DSGVO, wenn auch nicht ganz so explizit: Art. 32 DSGVO verlangt, dass „der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen [treffen], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Hierzu gehört selbstverständlich auch die Zutrittskontrolle. Diese kann innerhalb des Geländes oder eines Gebäudes auf unterschiedlichste Arten umgesetzt werden. Eine konkretere Aussage trifft die DSGVO hierzu nicht. In diesem Fall hat ein holländisches Unternehmen sich entschieden, nicht mehr die gängigen Zutrittskarten einzusetzen, sondern stattdessen die Fingerabdrücke der Beschäftigten zu nutzen. Das Verfahren ist praktisch und sicher, da hierzu kein Gegenstand notwendig ist, den man verlieren oder weitergeben könnte. Pannen durch Verlust und Möglichkeiten des Arbeitszeitbetrugs durch Weitergabe werden also verhindert und damit auch die Sicherheit erhöht. Ganz im Sinne des Datenschutzes also? Hierzu weiter unten mehr.

Das Unternehmen hat in bestimmten Bereichen Fingerscan-Stationen installiert. Der Fingerabdruck ist mit einem Mitarbeiterprofil verknüpft, zu dem die entsprechenden Zutrittsberechtigungen zentral hinterlegt sind.

Beschäftigte des Unternehmens waren mit diesem Vorgehen nicht einverstanden und haben sich mit einer Beschwerde an die Aufsichtsbehörde gewandt, welche darauf tätig geworden ist und eigene Ermittlungen angestellt hat. Die Prüfung ergab, dass pro Person vier Fingerabdrücke erhoben wurden. Insgesamt fielen damit 1.348 einzigartige Fingerabdrücke von 337 Personen unter diese Verarbeitung.

Aber wofür das Bußgeld?

Sie mögen sich nun fragen, warum die Behörde ein Bußgeld erlassen hat. Schließlich hat das Unternehmen doch für ein sehr hohes Sicherheitsniveau im Bereich der Zutrittskontrolle gesorgt. Die Antwort auf diese Frage findet sich in Art. 9 DSGVO, denn bei Fingerabdrücken handelt es sich um besondere Kategorien personenbezogener Daten, genauer gesagt um biometrische Daten gemäß Art. 4 Nr. 14 DSGVO.

Art. 9 DSGVO schränkt die Verarbeitung besonderer Kategorien personenbezogener Daten ein. Für solche Daten gilt ein allgemeines Verarbeitungsverbot mit klar definierten Ausnahmen. Anders ausgedrückt: Es reicht nicht aus, eine Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Verarbeitung zu haben, es müssen ergänzend auch ein Ausnahmetatbestand für die die Verarbeitung gemäß Art. 9 DSGVO vorliegen.

Darüber hinaus sind nach Art.5 DSGVO die Grundsätze der Transparenz und der Rechtmäßigkeit für jede Verarbeitung von personenbezogenen Daten einzuhalten, denn diese bilden die Grundlagen des Datenschutzes. Erfolgt dies nicht, liegt ein sanktionierbarer Verstoß gegen die DSGVO vor mit der Konsequenz, dass die Datenverarbeitung unzulässig ist.

Beschäftigte dieses Unternehmens haben sich an die Aufsichtsbehörde für den Datenschutz gewandt, da sie den Eingriff in ihre Persönlichkeitsrechte durch die geplante Verarbeitung als zu tiefgreifend angesehen haben. Die Überprüfungen der Aufsicht haben ergeben, dass die Einführung der neuen Zutrittskontrolle für die Beschäftigten überraschend und ohne Vorankündigung erfolgte. Hinzu kommt, dass den Beschäftigten die verpflichtend zu erteilenden Informationen gemäß Art. 13 DSGVO nicht bereitgestellt wurden. Nur wenn die betroffenen Personen über die geplante Datenverarbeitung informiert werden und sie deren Hintergründe verstehen, kann die notwendige Transparenz hergestellt werden. Bei dem holländischen Unternehmen konnte nachgewiesen werden, dass neben den Informationspflichten auch die Rechenschaftspflicht außer Acht gelassen wurde.

Wie oben bereits erwähnt gehören biometrische Daten zu den besonderen Kategorien personenbezogener Daten und sind besonders durch den Verantwortlichen zu schützen. Dadurch resultiert mehr Aufwand für den Verantwortlichen. Das Verarbeitungsverbot gemäß Art. 9 Abs. 1 DSGVO gilt nur dann nicht, wenn ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO vorliegt.

Bei dem Szenario des holländischen Unternehmens wurde seitens des Arbeitgebers mit unterschiedlichen Rechtsgrundlagen argumentiert. Einigen Beschäftigten wurde mitgeteilt, dass die Verarbeitung aufgrund des Beschäftigungsverhältnisses erfolge. Die hierzu gehörende Rechtsgrundlage des Art. 9 Abs. 2 lit. b DSGVO zielt jedoch auf das Arbeits- oder Sozialrecht ab, nicht jedoch auf die allgemeine Durchführung des Beschäftigungsverhältnisses.

Von anderen Beschäftigten wurde eine mündliche Einwilligung eingeholt. Sofern eine Einwilligung eingeholt wird, ist durch den Verantwortlichen sicherzustellen, dass eine Freiwilligkeit vorliegt. Genau hier lag gemäß der Aufsichtsbehörde das Problem. Eine Freiwilligkeit kann nur gewährleistet werden, wenn die Beschäftigten angemessen informiert werden und eine Wahl haben. Wichtig ist dabei auch, dass eine nicht erfolgte Einwilligung keine Nachteile für die betroffene Person zur Folge haben darf. Da aber gar keine andere Option angeboten wurde, blieb den Beschäftigten keine andere Möglichkeit, als die Fingerabdrücke abzugeben. Ohne Abgabe der Fingerabdrücke wären der Zutritt zum Unternehmen und somit die Erbringung der geschuldeten Arbeitsleistung nicht möglich gewesen. Eine Freiwilligkeit bei der Einwilligung lag damit nicht vor.

Fazit

Sofern Sie besondere Kategorien personenbezogener Daten verarbeiten, achten Sie unbedingt darauf, dass diese stets besonders behandelt werden müssen. Ob die Verarbeitung zulässig oder unzulässig ist, lässt sich nicht ohne eingehende Detailprüfung feststellen. Aus diesem Grund sollte vor Beginn der Datenverarbeitung oder noch besser bereits in der Planungsphase der/die Datenschutzbeauftragte in die Überlegungen einbezogen werden. Nur wenn alle Informationen vorliegen, kann die datenschutzrechtliche Bewertung stattfinden.

Planen Sie die Verarbeitung besonderer Kategorien personenbezogener Daten? Wir beraten Sie gerne!