Biometrische Daten und die DSGVO: Was ist erlaubt?
Biometrische Daten und die DSGVO: Was ist erlaubt?
1. Was sind biometrische Daten nach der DSGVO?
Biometrische Daten sind besondere personenbezogene Daten und fallen unter den strengen Schutz von Art. 9 DSGVO. Die Verordnung definiert sie als:
„Mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten (Fingerabdrücke).“
Typische Beispiele für biometrische Daten:
✔ Gesichtserkennung (z. B. Face ID)
✔ Fingerabdruck-Scanner (z. B. zur Zutrittskontrolle)
✔ Iris- und Netzhaut-Scans
✔ Stimmerkennung
✔ Verhaltenserkennung (z. B. Tippverhalten auf der Tastatur)
2. Wann dürfen biometrische Daten verarbeitet werden?
Grundsätzlich gilt: Die Verarbeitung biometrischer Daten ist verboten, außer es greift eine gesetzliche Ausnahme gemäß Art. 9 Abs. 2 DSGVO. Die wichtigsten Erlaubnistatbestände sind:
✅ Ausdrückliche Einwilligung der betroffenen Person
• Die betroffene Person muss freiwillig und informiert zustimmen.
• Achtung: Im Arbeitsverhältnis ist eine Einwilligung oft nicht freiwillig, da ein Abhängigkeitsverhältnis besteht.
✅ Erforderlichkeit aufgrund von arbeitsrechtlichen oder sozialen Schutzvorschriften
• Z. B. wenn ein Fingerabdruck-Scanner für die Arbeitszeiterfassung notwendig ist.
✅ Schutz lebenswichtiger Interessen
• Wenn eine Person nicht einwilligen kann (z. B. Bewusstlosigkeit im Krankenhaus) und biometrische Daten zur Identifikation benötigt werden.
Fehlt eine dieser Rechtsgrundlagen, ist die Verarbeitung biometrischer Daten verboten!
3. Biometrische Zutrittskontrolle: Was müssen Unternehmen beachten?
Unternehmen, die biometrische Daten für Zugangskontrollen oder Identifikationszwecke nutzen möchten, müssen vorab prüfen:
📌 Ist die Verarbeitung überhaupt zulässig? → Greift eine der Ausnahmen aus Art. 9 DSGVO?
📌 Gibt es alternative, weniger eingreifende Methoden? → RFID-Karten oder PIN-Systeme könnten ausreichen.
📌 Ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich? → Bei hohem Risiko (z. B. flächendeckende Gesichtserkennung) ist eine DSFA nach Art. 35 DSGVO Pflicht.
📌 Sind die Daten ausreichend geschützt? → Technische und organisatorische Maßnahmen (TOM) wie Verschlüsselung, Zugriffsbeschränkungen und Löschkonzepte müssen umgesetzt werden.
4. Fazit
🔹 Biometrische Daten sind besonders schützenswert und unterliegen strengen Regeln der DSGVO.
🔹 Eine Verarbeitung ist nur unter bestimmten Voraussetzungen erlaubt – insbesondere mit ausdrücklicher Einwilligung oder wenn sie arbeitsrechtlich notwendig ist.
🔹 Unternehmen müssen vor der Einführung biometrischer Verfahren eine sorgfältige Prüfung durchführen, insbesondere durch eine Datenschutz-Folgenabschätzung (DSFA).
💡 Tipp: Wer biometrische Systeme einsetzen möchte, sollte immer zuerst prüfen, ob alternative, datenschutzfreundlichere Lösungen ausreichen! 🚀
1. Was sind biometrische Daten nach der DSGVO?
Biometrische Daten sind besondere personenbezogene Daten und fallen unter den strengen Schutz von Art. 9 DSGVO. Die Verordnung definiert sie als:
„Mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten (Fingerabdrücke).“
Typische Beispiele für biometrische Daten:
✔ Gesichtserkennung (z. B. Face ID)
✔ Fingerabdruck-Scanner (z. B. zur Zutrittskontrolle)
✔ Iris- und Netzhaut-Scans
✔ Stimmerkennung
✔ Verhaltenserkennung (z. B. Tippverhalten auf der Tastatur)
2. Wann dürfen biometrische Daten verarbeitet werden?
Grundsätzlich gilt: Die Verarbeitung biometrischer Daten ist verboten, außer es greift eine gesetzliche Ausnahme gemäß Art. 9 Abs. 2 DSGVO. Die wichtigsten Erlaubnistatbestände sind:
✅ Ausdrückliche Einwilligung der betroffenen Person
• Die betroffene Person muss freiwillig und informiert zustimmen.
• Achtung: Im Arbeitsverhältnis ist eine Einwilligung oft nicht freiwillig, da ein Abhängigkeitsverhältnis besteht.
✅ Erforderlichkeit aufgrund von arbeitsrechtlichen oder sozialen Schutzvorschriften
• Z. B. wenn ein Fingerabdruck-Scanner für die Arbeitszeiterfassung notwendig ist.
✅ Schutz lebenswichtiger Interessen
• Wenn eine Person nicht einwilligen kann (z. B. Bewusstlosigkeit im Krankenhaus) und biometrische Daten zur Identifikation benötigt werden.
Fehlt eine dieser Rechtsgrundlagen, ist die Verarbeitung biometrischer Daten verboten!
3. Biometrische Zutrittskontrolle: Was müssen Unternehmen beachten?
Unternehmen, die biometrische Daten für Zugangskontrollen oder Identifikationszwecke nutzen möchten, müssen vorab prüfen:
📌 Ist die Verarbeitung überhaupt zulässig? → Greift eine der Ausnahmen aus Art. 9 DSGVO?
📌 Gibt es alternative, weniger eingreifende Methoden? → RFID-Karten oder PIN-Systeme könnten ausreichen.
📌 Ist eine Datenschutz-Folgenabschätzung (DSFA) erforderlich? → Bei hohem Risiko (z. B. flächendeckende Gesichtserkennung) ist eine DSFA nach Art. 35 DSGVO Pflicht.
📌 Sind die Daten ausreichend geschützt? → Technische und organisatorische Maßnahmen (TOM) wie Verschlüsselung, Zugriffsbeschränkungen und Löschkonzepte müssen umgesetzt werden.
4. Fazit
🔹 Biometrische Daten sind besonders schützenswert und unterliegen strengen Regeln der DSGVO.
🔹 Eine Verarbeitung ist nur unter bestimmten Voraussetzungen erlaubt – insbesondere mit ausdrücklicher Einwilligung oder wenn sie arbeitsrechtlich notwendig ist.
🔹 Unternehmen müssen vor der Einführung biometrischer Verfahren eine sorgfältige Prüfung durchführen, insbesondere durch eine Datenschutz-Folgenabschätzung (DSFA).
💡 Tipp: Wer biometrische Systeme einsetzen möchte, sollte immer zuerst prüfen, ob alternative, datenschutzfreundlichere Lösungen ausreichen! 🚀
Aktualisiert am: 25/02/2025
Danke!