Bioerkennung ante portas

von (Kommentare: 0)

Welcome to CCTV City

Fingerabdruck Biometrische Daten

Im Jahr 1998 fand die Premiere des Films „Der Staatsfeind Nr. 1“ mit Will Smith und Gene Hackman statt. Eine von dessen Hauptbotschaften war die Warnung vor der Missbrauchsgefahr im Zusammenhang mit der Videoüberwachung. Dem Publikum hat der Film zwar gefallen, aber er wurde dem Bereich „science-fiction“ zugeordnet.

Zwei Jahre später beim Irland-Besuch war meine Überraschung groß, als der Reiseführer unserer Gruppe erzählte, dass jede Straße in Dublin videoüberwacht wird. Die Begründung dafür war die Terrorbekämpfung (ähnliche Argumente waren auch hinsichtlich des Ausbaus der Videoüberwachung zur gleichen Zeit in Großbritannien zu hören). Da der Friedensvertrag zwischen den Konfliktparteien in Nordirland (Good Friday Agreement) bereits im Jahr 1998 abgeschlossen wurde, kam mir die genannte Rechtsgrundlage als obsolet vor.

Es ist darauf hinzuweisen, dass all dies vor dem 9/11, der Einführung vom Patriot Act sowie den Enthüllungen von Edward Snowden geschah….

Zwanzig Jahre später, kaum an die Videoüberwachung gewöhnt, hört man zunehmend von dem Einsatz der biometrischen Erkennung - also Technologien, welche zwecks Identifizierung einer natürlichen Person die Verarbeitung von ihren biometrischen Daten nach sich ziehen (bspw. Gesichtserkennung, Iris-Scanner, Fingerprint-Scanner usw.).

Fälle

In den letzten Jahren sind folgende Fälle bekannt geworden:

Stadion (Dänemark)

Im Jahr 2019 war zu lesen, dass ein Fußballklub in Dänemark als erster in Europa das automatische Gesichtserkennungssystem eingeführt hat. Argumentiert wurde hier mit der Einhaltung der Stadionverbote. Die Datenschutzbehörde hat den Einsatz vom Gesichtserkennungssystem unter Bedingungen (bspw. Löschung der Daten nach jedem Spiel, Beachtung der Informationspflichten usw.) genehmigt.

Supermarkt (Holland)

Ein ähnlicher Fall ereignete sich in Holland. Dort hat ein Supermarkt die Gesichtserkennungstechnologie eingesetzt, um die Mitarbeiter/ Kunden zu schützen und um Ladendiebstähle zu verhindern (Das Gesicht von jedem Kunden wurde gescannt und mit einer Datenbank der verurteilten Personen verglichen). Hier hat die Datenschutzbehörde die Einstellung des Gesichtserkennungssystems angeordnet.

Zeiterfassung im Unternehmen (Deutschland)

In einem deutschen Unternehmen erfolgte die Arbeitszeiterfassung durch ein Zeiterfassungssystem mittels Fingerprint. In ihren Entscheidungen haben sowohl das Arbeitsgericht Berlin (Entscheidung vom 16.10.2019, Az. 29 Ca 5451/19) als auch das Landesarbeitsgericht Berlin-Brandenburg (Entscheidung vom 04.06.2020, Az. 10 Sa 2130/19) die Erforderlichkeit des biometrischen Zeiterfassungssystems verneint (siehe auch den diesbezüglichen dacuro-Beitrag).

Datenschutzrechtliche Aspekte

Der Einsatz von der biometrischen Erkennung (u.a. Gesichtserkennung, Iris- und Fingerprint-Scanner) kann aus folgenden Gründen datenschutzrechtlich problematisch sein:

Art. 4 Nr. 14 und Art. 9 DSGVO

Beim Einsatz der oben genannten Technologien werden die so genannten biometrischen Daten verarbeitet, welche im Art. 4 Nr. 14 DSGVO definiert sind (biometrische Daten sind „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“ (…)“). Diese gehören zur Gruppe der sensiblen Daten gemäß Art. 9 DSGVO („Verarbeitung der (…) biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person“), welche nur in Ausnahmefällen (Art. 9 Abs. 2 DSGVO) verarbeitet werden dürfen. Aber auch hier wird die Angemessenheit der Verarbeitung dieser Daten betont (bspw. Art. 9 Abs. 2 lit. g, i, j DSGVO).

Art. 5 Abs. 1 lit. c DSGVO (Prinzip der Datenminimierung)

Gemäß Art. 5 Abs. 1 lit. c DSGVO muss die Datenverarbeitung auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Beurteilung

In den oben genannten Beispielen haben die Verantwortlichen datenschutzrechtlich über das (Datenverarbeitungs-) Ziel hinausgeschossen.

Ad. Stadion (Dänemark)

Es stellt sich die Frage, ob die (datensparsamen) Alternativmaßnahmen wie bspw. schärfere Kontrollen am Stadioneingang (inkl. Pyrotechnikverbot), Alkoholverbot, Videoüberwachung, Verkauf erwerberbezogener Tickets gegen die Vorlage des Identitätsnachweises usw. überhaupt in Betracht gezogen wurden. Wenn nicht, dann würde die Verarbeitung der biometrischen Daten dem Datenverarbeitungszweck nicht entsprechen.

Ad. Supermarkt (Holland)

Hier stellt sich die gleiche Frage nach den Alternativmaßnahmen (bspw. Videoüberwachung, Einsatz von Hausdetektiven, Einsatz von Sicherheitsschleusen usw.). Anscheinend wurden sie vom Verantwortlichen nicht in Betracht gezogen.

Ad. Zeiterfassung im Unternehmen (Deutschland)

Das Landesarbeitsgericht Berlin-Brandenburg hat in seiner Entscheidung (Rz. 65) darauf hingewiesen, dass im Unternehmen bereits ein alternatives Arbeitszeiterfassungssystem eingesetzt wurde: „Die Beklagte hat in der Berufungsbegründung auf Seite 10, wenn auch vielleicht versehentlich, ausdrücklich angegeben, dass es (…) auch ein Terminal mit der Bezeichnung „IT 8200“ gibt. Dabei handelt es sich um ein Ausweisleser-System, also ein System ohne Nutzung biometrischer Daten des Klägers (…). Dieses ist mit Chipkarten und Transpondern und anderen lesbaren Ausweisen zu betreiben“. Aus diesem Grund würde die Verarbeitung der biometrischen Daten dem Datenverarbeitungszweck nicht entsprechen.

Das Arbeitsgericht hält den Einsatz der biometrischen Erkennung in Unternehmen für möglich, aber nicht im Zusammenhang mit der Arbeitszeiterfassung (Rz. 33): „Dabei gilt folgende Regel: Je intensiver in das Persönlichkeitsrecht eingegriffen werden soll, desto schwerer muss der vom Arbeitgeber mit dem Verfahren verfolgte konkrete Zweck wiegen. So wird das Interesse des Arbeitgebers an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimissen eher überwiegen als bei einer angestrebten Zugangssicherung zu normalen Bürobereichen. So können biometrische Daten zwar zur Kontrolle beim Eintritt in Sicherheitsbereiche, nicht jedoch im Rahmen der Arbeitszeiterfassung verwendet werden (…)“.

Nächster Schritt: Einführung des Sozialkredit-Systems?

Es ist darauf hinzuweisen, dass diese Entwicklung seitens der Datenschutzbehörden mit Skepsis betrachtet wird. Bereits im Jahr 2004 hat das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein in seiner Stellungnahme davor gewarnt, die biometrische Erkennung als Allheilmittel in Sicherheitsfragen zu betrachten (siehe auch den dacuro-Beitrag über die Risiken im Zusammenhang mit der Verarbeitung der biometrischen Daten).

Wenn diese Technologie doch salonfähig wird; dann stellt sich die Frage, zu welchen Zwecken sie künftig eingesetzt wird? Wird sie am Ende zur Einführung des Sozialkredit-Systems beitragen? Die Idee mag auf den ersten Blick absurd vorkommen, doch das Gleiche hat man vor 2020 über andere Dinge gesagt…

Schlussfolgerung

Da das Missbrauchsrisiko im Zusammenhang mit der biometrischen Erkennung sehr hoch ist (ähnliche Präzedenzfälle mahnen zur Vorsicht), soll ihr Einsatz nur in rechtlich reglementierten und alternativlosen Ausnahmenfällen zulässig sein (bspw. Zugang zu Atomkraftwerken, Hochsicherheitslaboren, den für die nationale Sicherheit wichtigen Einrichtungen sowie zu den Bereichen eines Unternehmens mit Geschäfts-, Produktions- und Entwicklungsgeheimissen). Eine diesbezügliche Guideline des Europäischen Datenschutzausschusses (EDPB) wäre sehr hilfreich.

dacuro GmbH

Wenn Sie gerne mehr über unsere Dienstleistungen und Services erfahren möchten oder auf der Suche nach einem externen Datenschutzbeauftragten sind, nehmen Sie gerne Kontakt zu uns auf. Unser Team besteht aus einem Gesamtpaket: wir verfügen über qualifizierte Datenschutzbeauftragte, Expertenwissen durch eigene Juristen und kompetente Kollegen mit jahrelanger technischer Erfahrung, sodass wir das Thema „Datenschutz“ komplett für unsere Kunden abbilden können. Wir betreuen unsere Kunden nicht nur im Rhein-Neckar-Kreis, sondern deutschlandweit in den verschiedensten Branchen. Einen kleinen Einblick finden Sie in unseren Referenzen. Wir freuen uns auf Sie.

TAGS

Zurück

Einen Kommentar schreiben

Bitte rechnen Sie 9 plus 9.

Updates Anmeldung zum Newsletter

Wir informieren Sie kostenlos über aktuelle Meldungen zum Thema Datenschutz.