Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken

Liebe Leser! Diesen Artikel finde ich sehr interessant und lesenswert. Viel Spaß beim Lesen!

Schöne Grüße, Ihr Stephan Frank
SFC | Stephan Frank Consulting

HINWEIS: Der Text stammt nicht direkt von mir / diesem Projekt. Das Original finden Sie hier: Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken

Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken

Die Niederländische Datenschutz-Aufsichtsbehörde „Autoriteit Persoonsgegevens“ hat das bis dato zweithöchste Bußgeld (innerhalb Hollands) seit Einführung der Datenschutz-Grundverordnung erlassen. Wie es zu dem 725.000€-Bußgeld kam und wie die Aufsichtsbehörde den Sachverhalt bewertet, lesen Sie hier.

Was ist vorgefallen?

Jedes Unternehmen macht sich sicherlich Gedanken, wie die Zutrittskontrolle innerhalb des Geländes oder des Gebäudes optimiert werden kann. Dies dachte sich ebenfalls ein holländisches Unternehmen und wollte die gängigen Zutrittskarten nicht mehr einsetzen und stattdessen die Fingerabdrücke der Mitarbeiter nutzen. Der Arbeitgeber hat mehrere Fingerabdruck-Scan-Stationen installieren lassen. Diese Stationen scannen den Fingerabdruck, berechnen daraus ein Template und speichern die Informationen in einer Software. Dadurch einsteht eine individuelle und einzigartige Verbindung zu einer Person – vergleichbar mit einer Mitarbeiter-ID.

Die Aufsichtsbehörde wurde durch einzelne Mitarbeiter aufmerksam gemacht und begann eine Untersuchung. Interne Dokumente des Unternehmens wiesen darauf hin, dass in der Regel vier Fingerabdrücke pro Person abgegeben wurden. Insgesamt fielen 337 Personen mit 1.348 einzigartigen Fingerabdrücken unter dieser Verarbeitung.

Was hat das Unternehmen falsch gemacht?

Im Fokus stehen die Fingerabdrücken der Mitarbeiter. Bei Fingerabdrücken handelt es sich um besondere personenbezogene Daten in Form von biometrischen Daten nach Art. 4 Nr. 14 DSGVO.

„[…]mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen[…]“

Treue Leser unseres Blogs können sich an dieser Stelle sicherlich schon die Problematiken des Falls ausmalen. Transparenz und Rechtmäßigkeit bilden die Grundlagen des Datenschutzes. Demnach sind nach Art.5 DSGVO die Grundsätze in jeder Verarbeitung von personenbezogenen Daten einzuhalten. Liegt dies nicht vor, kann stets von einer unrechtmäßigen Datenverarbeitung ausgegangen werden.

Transparenz

Bei der Untersuchung der Aufsichtsbehörde wurden einige Mitarbeiter befragt. Dabei kam heraus, dass die Systeme wohl sehr überraschend und unerwartet eingeführt wurden. Zudem erhielten die Mitarbeiter keine Informationen über den Verarbeitungsumfang. Dies lässt auf das Nichteinhalten von Art.13 DSGVO schließen. Die Transparenz ist insofern wichtig, dass der Betroffene das Bestehen und den Umfang einer Verarbeitung verstehen soll. Hierbei konnte die holländische Aufsichtsbehörde nachweisen, dass dem nicht ausreichend nachgekommen wurde und ebenfalls die Rechenschaftspflicht außer Acht gelassen wurde.

Rechtmäßigkeit

Datenschutzbeauftragten wird oftmals nachgesagt, dass sie gerne Prozesse definieren. Dies hätte jemand dem Unternehmen ebenfalls ans Herz legen sollen.

Eine Verarbeitung von besonderen personenbezogene Daten stellt i.d.R. einen größeren Aufwand für Verantwortliche dar, denn im Vergleich zu herkömmlichen personenbezogenen Daten sind diese schutzwürdiger. Daher ist eine Verarbeitung unmittelbar nach Art .9 Abs. 1 DSGVO untersagt. Davon ist abzusehen, wenn eine Ausnahme nach Art. 9 Abs. 2 DSGVO greift.

Die Aufsichtsbehörde hat einige Mitarbeiter nach der notwendigen Rechtsgrundlagen befragt. Hierbei gab es unterschiedliche Aussagen. Ein Großteil der Mitarbeiter wurde mit einem Verweis auf den Arbeitsvertrag getröstet – einige haben wohl eine mündliche Einwilligung gegeben.

Freiwilligkeit

Soweit besondere personenbezogene Daten auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO in Form einer Einwilligung verarbeitet werden sollen, müssen die Anforderungen aus Art. 7 DSGVO erfüllt werden. Im Fokus steht hierbei die Freiwilligkeit der Einwilligung.

Die Freiwilligkeit wird im Erwägungsgrund 43 weiter erläutert. Demnach kann keine Freiwilligkeit vorliegen, soweit ein klares Ungleichgewicht besteht. Nach Auffassung der Autoriteit Persoonsgegevens liegt hierbei der Knackpunkt. Da ein klares Abhängigkeitsverhältnis besteht, können die Mitarbeiter in Anbetracht ihres Arbeitsverhältnisses nur unter sehr hohen Anforderungen eine freiwillige Einwilligung abgeben. Da das Unternehmen noch nicht mal eine Rechtsgrundlage für die Verarbeitung definiert und verwendet hatte und einzelne Mitarbeiter im Gespräch mit der Behörde nicht wussten, dass die Nutzung der Fingerabdruck-Scan-Stationen freiwillig ist und eine Nichtnutzung keine Nachteile nach sich zieht, war auch Art. 9 Abs. 2 lit. a DSGVO nicht einschlägig.

Was lernen wir daraus?

Achten Sie darauf, dass besondere personenbezogene Daten auch besonders behandelt werden sollten. Es ist sicherlich reizend die Digitalisierung in sein Unternehmen einfließen zu lassen, jedoch nicht um jeden Preis. Eine Abwägung sollte vor jeder neuen Implementierung solcher Systeme stattfinden. Wir empfehlen den Datenschutzbeauftragten frühestmöglich in den Prozess einzubinden, um solche Bußgelder zu vermeiden. Über die Anforderungen an ein biometrisches Authentifizierungssystem haben wir bereits berichtet.


Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER   FACEBOOK   E-MAIL   XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN


© www.intersoft-consulting.de

HINWEIS / ENDE ZITAT:
Diesen Artikel finde ich sehr interessant und lesenswert, allerdings stammt der Text nicht von mir / diesem Projekt. Dieser Post stammt ursprünglich von: Dr. Datenschutz (Info leider im Original-Beitrag ggf. nicht enthalten) und natürlich liegen alle Rechte beim Verfasser / Rechteinhaber. Hier geht’s zum Original: Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken.