Am 05. April 2019 veröffentlichte das Gremium der deutschen Datenschutzaufsichtsbehörden, die sogenannte Datenschutzkonferenz („DSK“), ein Positionspapier zur biometrischen Analyse. Zwei Arbeitskreise haben sich im Auftrag der DSK mit der Verarbeitung von Daten durch Sensorik und Videotechnik sowie deren datenschutzrechtliche Einordnung befasst.
Einsatzszenarien von biometrischen Verfahren
Durch den Einsatz von modernen biometrischen Verfahren ist es heutzutage möglich, eine immer umfassendere Profilbildung von Personen im Alltag durchzuführen. Anhand biometrischer Charakteristika lässt sich das Alter und Geschlecht einer Person recht zuverlässig bestimmen. Durch Analyse der Mimik sind auch Rückschlüsse auf die Gefühlslage eines Menschen möglich (Emotional Decoding).
Erkennungssysteme werden mit dem Ziel der Identifikation, Verifikation sowie Wiedererkennung von Personen oder deren Zuordnung in eine Gruppe eingesetzt. Ihren Einsatz finden diese Verfahren in der Profilbildung, Beobachtung, Videoüberwachung und zu Marketingzwecken. Dabei kommen bestimmte biometrische Charakteristika zur Anwendung. Folgende Einsatzszenarien sind von datenschutzrechtlicher Relevanz (nicht abschließend):
- Zutrittskontrolle
- Kontrolle eines physischen Zutritts zu Räumen oder Gebäuden
- Biometrische Charakteristika: Gesichtsform, Fingerabdrücke
- Zugangskontrolle
- Kontrolle des Zugangs zu Datenverarbeitungssystemen
- Biometrische Charakteristika: Fingerabdruck, Gesichtsform, Authentisierungsmechanismen (Log-in) auf Betriebssysteme
- Beobachtung/Überwachung
- Vergleich der erhobenen biometrischen Charakteristika (z.B. Gesichtsbilder) mit bekannten biometrischen Daten, etwa aus einer Sperrliste (z.B. Personen mit Hausverbot)
Datenschutzrechtliche Betrachtung und Maßnahmen
Biometrische Daten sind nach Art. 4 Nr. 14 DSGVO mit speziellen technischen Verfahren gewonnene personenbezogenen Daten zu den physischen, psychologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten.
Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung biometrischer Daten zur Identifizierung einer natürlichen Person grundsätzlich untersagt. Ausnahmen von dieser Norm sind in Art. 9 Abs. 2 DSGVO geregelt. Erfolgt die Verarbeitung zu einem anderen Zweck als die eindeutige Identifizierung einer natürlichen Person, richtet sich ihre Zulässigkeit nach Art. 6 Abs. 1 DSGVO.
Die Eignung biometrischer Daten ist bei der Risikoabschätzung und der Auswahl der technischen und organisatorischen Maßnahmen zu berücksichtigen. Biometrische Daten erfordern in aller Regel eine besondere Aufmerksamkeit, da eine Einzelperson unwiderruflich mit ihnen verbunden ist. Dies führt zu einem erhöhten Schutzbedarf. Um ein angemessenes Schutzniveau zu gewährleisten, muss der Verantwortliche die mit der Verarbeitung verbundenen Risiken identifizieren. Außerdem ist der Verantwortliche dazu verpflichtet, die Grundsätze aus Art. 5 DSGVO einzuhalten und getroffene Maßnahmen zu dokumentieren. Folglich müssen geeignete technische und organisatorische Maßnahmen getroffen werden.
Sprechen Sie uns an. Gerne begleiten und unterstützen wir Sie bei der Umsetzung der erforderlichen Maßnahmen, gerne auch vor Ort in Ihrem Unternehmen.