Zum Inhalt springen Zur Navigation springen
Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken

Bußgeld in Holland: Unrechtmäßige Verarbeitung von Fingerabdrücken

Die Niederländische Datenschutz-Aufsichtsbehörde „Autoriteit Persoonsgegevens“ hat das bis dato zweithöchste Bußgeld (innerhalb Hollands) seit Einführung der Datenschutz-Grundverordnung erlassen. Wie es zu dem 725.000€-Bußgeld kam und wie die Aufsichtsbehörde den Sachverhalt bewertet, lesen Sie hier.

Was ist vorgefallen?

Jedes Unternehmen macht sich sicherlich Gedanken, wie die Zutrittskontrolle innerhalb des Geländes oder des Gebäudes optimiert werden kann. Dies dachte sich ebenfalls ein holländisches Unternehmen und wollte die gängigen Zutrittskarten nicht mehr einsetzen und stattdessen die Fingerabdrücke der Mitarbeiter nutzen. Der Arbeitgeber hat mehrere Fingerabdruck-Scan-Stationen installieren lassen. Diese Stationen scannen den Fingerabdruck, berechnen daraus ein Template und speichern die Informationen in einer Software. Dadurch einsteht eine individuelle und einzigartige Verbindung zu einer Person – vergleichbar mit einer Mitarbeiter-ID.

Die Aufsichtsbehörde wurde durch einzelne Mitarbeiter aufmerksam gemacht und begann eine Untersuchung. Interne Dokumente des Unternehmens wiesen darauf hin, dass in der Regel vier Fingerabdrücke pro Person abgegeben wurden. Insgesamt fielen 337 Personen mit 1.348 einzigartigen Fingerabdrücken unter dieser Verarbeitung.

Was hat das Unternehmen falsch gemacht?

Im Fokus stehen die Fingerabdrücken der Mitarbeiter. Bei Fingerabdrücken handelt es sich um besondere personenbezogene Daten in Form von biometrischen Daten nach Art. 4 Nr. 14 DSGVO.

„[…]mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen[…]“

Treue Leser unseres Blogs können sich an dieser Stelle sicherlich schon die Problematiken des Falls ausmalen. Transparenz und Rechtmäßigkeit bilden die Grundlagen des Datenschutzes. Demnach sind nach Art.5 DSGVO die Grundsätze in jeder Verarbeitung von personenbezogenen Daten einzuhalten. Liegt dies nicht vor, kann stets von einer unrechtmäßigen Datenverarbeitung ausgegangen werden.

Transparenz

Bei der Untersuchung der Aufsichtsbehörde wurden einige Mitarbeiter befragt. Dabei kam heraus, dass die Systeme wohl sehr überraschend und unerwartet eingeführt wurden. Zudem erhielten die Mitarbeiter keine Informationen über den Verarbeitungsumfang. Dies lässt auf das Nichteinhalten von Art.13 DSGVO schließen. Die Transparenz ist insofern wichtig, dass der Betroffene das Bestehen und den Umfang einer Verarbeitung verstehen soll. Hierbei konnte die holländische Aufsichtsbehörde nachweisen, dass dem nicht ausreichend nachgekommen wurde und ebenfalls die Rechenschaftspflicht außer Acht gelassen wurde.

Rechtmäßigkeit

Datenschutzbeauftragten wird oftmals nachgesagt, dass sie gerne Prozesse definieren. Dies hätte jemand dem Unternehmen ebenfalls ans Herz legen sollen.

Eine Verarbeitung von besonderen personenbezogene Daten stellt i.d.R. einen größeren Aufwand für Verantwortliche dar, denn im Vergleich zu herkömmlichen personenbezogenen Daten sind diese schutzwürdiger. Daher ist eine Verarbeitung unmittelbar nach Art .9 Abs. 1 DSGVO untersagt. Davon ist abzusehen, wenn eine Ausnahme nach Art. 9 Abs. 2 DSGVO greift.

Die Aufsichtsbehörde hat einige Mitarbeiter nach der notwendigen Rechtsgrundlagen befragt. Hierbei gab es unterschiedliche Aussagen. Ein Großteil der Mitarbeiter wurde mit einem Verweis auf den Arbeitsvertrag getröstet – einige haben wohl eine mündliche Einwilligung gegeben.

Freiwilligkeit

Soweit besondere personenbezogene Daten auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO in Form einer Einwilligung verarbeitet werden sollen, müssen die Anforderungen aus Art. 7 DSGVO erfüllt werden. Im Fokus steht hierbei die Freiwilligkeit der Einwilligung.

Die Freiwilligkeit wird im Erwägungsgrund 43 weiter erläutert. Demnach kann keine Freiwilligkeit vorliegen, soweit ein klares Ungleichgewicht besteht. Nach Auffassung der Autoriteit Persoonsgegevens liegt hierbei der Knackpunkt. Da ein klares Abhängigkeitsverhältnis besteht, können die Mitarbeiter in Anbetracht ihres Arbeitsverhältnisses nur unter sehr hohen Anforderungen eine freiwillige Einwilligung abgeben. Da das Unternehmen noch nicht mal eine Rechtsgrundlage für die Verarbeitung definiert und verwendet hatte und einzelne Mitarbeiter im Gespräch mit der Behörde nicht wussten, dass die Nutzung der Fingerabdruck-Scan-Stationen freiwillig ist und eine Nichtnutzung keine Nachteile nach sich zieht, war auch Art. 9 Abs. 2 lit. a DSGVO nicht einschlägig.

Was lernen wir daraus?

Achten Sie darauf, dass besondere personenbezogene Daten auch besonders behandelt werden sollten. Es ist sicherlich reizend die Digitalisierung in sein Unternehmen einfließen zu lassen, jedoch nicht um jeden Preis. Eine Abwägung sollte vor jeder neuen Implementierung solcher Systeme stattfinden. Wir empfehlen den Datenschutzbeauftragten frühestmöglich in den Prozess einzubinden, um solche Bußgelder zu vermeiden. Über die Anforderungen an ein biometrisches Authentifizierungssystem haben wir bereits berichtet.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Irgendwo muss es da aber noch einen anderen Knackpunkt geben, denn das was hier geschildert wird, gibt es in vielen Unternehmen. Insbesondere bei der Absicherung von Sicherheitszonen – und da gibt es auch keine Freiwilligkeit, denn dann würde die Sicherung ja nicht mehr wirken, wenn einige Kollegen einfach so reingehen würden.
    Vielleicht haben die in Holland noch irgendwas anderes falsch gemacht, wovon wir nichts wissen.

  • „Die Mitarbeiter können in Anbetracht ihres Arbeitsverhältnisses keine freiwillige Einwilligung geben, da ein klares Abhängigkeitsverhältnis besteht.“
    Hier wäre noch interessant zu erfahren, ob dies aufgrund einer fehlenden Alternative (TAG o.ä.) vorliegt oder Mitarbeiter tatsächlich keine Einwilligung geben können. Zweiteres könnte einige Bereiche im Unternehmen gut durchwirbeln, wo häufig die Einwilligung genutzt wird (Geburtstagsliste, Foto etc.)

    • Danke für den Hinweis. Die Aussage war in ihrer Absolutheit falsch. Wir haben den Abschnitt entsprechend angepasst. Es kommt auch laut Erwägungsgrund im Einzelfall (in Anbetracht aller Umstände in dem speziellen Fall) darauf an, ob die Abhängigkeit dazu führt, dass die Einwilligung wahrscheinlich nicht freiwillig gegeben wurde. Anhaltspunkte für eine Freiwilligkeit sind z.B. eine geringe Eingriffsintensität, ein konkreter persönlicher Vorteil, gleichgelagerte Interessen oder das von Ihnen genannte Vorliegen einer echten Alternative. Dies kann dazu führen, dass wie etwa bei den von Ihnen genannten Fällen im Arbeitsverhältnis eine Einwilligung als Rechtsgrundlage einschlägig ist.

  • Ist nicht das von der Niederländischen Behörde gegen die UWV (Dutch employee insurance service provider) am 31.10.2019 verhängte Bußgeld i.H.V. 900,000 EUR das bisher höchste Bußgeld?

  • Aus Sicherheitsaspekten war die Erhebung offensichtlich nicht erforderlich. Die Behörde schreibt dazu (mit Google Translate übersetzt) In diesem Fall kann es zwei Ausnahmen vom Verbot der Verwendung von Fingerabdrücken geben: Wenn betroffene Personen um ausdrückliche Zustimmung gebeten werden oder wenn die Verwendung biometrischer Daten für Authentifizierungs- oder Sicherheitszwecke erforderlich ist. Der AP ist zu dem Schluss gekommen, dass sich dieses Unternehmen bei der Erfassung, Speicherung und Verwendung der Fingerabdrücke von Mitarbeitern nicht auf eine dieser beiden Ausnahmen verlassen kann.

    • Völlig richtig. Dabei ist anzumerken, dass die Ausnahme für Authentifizierungs- oder Sicherheitszwecke sich in diesem Fall ausdrücklich aus der Öffnungsklausel des Art. 9 Abs. 2 g) DSGVO und dem Artikel 29 UAVG (Uitvoeringswet Algemene verordening gegevensbescherming) ergibt. Eine vergleichbare Norm gibt es in Deutschland im BDSG nicht.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.