Der Fingerprint und die DSGVO ­

DNC-Fingerprint und DSGVO

Die Aussage „Das ist alles nicht so tragisch, wir verarbeiten keine sensiblen Daten im Unternehmen.“ habe ich in den letzten drei Jahren sehr häufig gehört. Beschäftigt man sich jedoch mit der Datenverarbeitung im Human Resources Bereich (im Bewerbungsverfahren und auch bei der Personalverwaltung), wird schnell klar, dass dem nicht so ist. Bereits hier werden nach Art. 9 der DSGVO „Besondere Kategorien personenbezogener Daten“ (Sozialversicherungsnummer, Gesundheitsdaten, Gewerkschaftszugehörigkeit etc.) verarbeitet.

Was ist allerdings mit Smartphones, Tablets und Notebooks, die einen Fingerabdruckscanner integriert haben und vom Unternehmen zur Verfügung gestellt werden? Fingerprints, die hier als Zugriffskontrolle genutzt werden, gehören zu den Daten nach Art. 9 der DSGVO, weil diese biometrischen Daten durch deren Verwendung die Personen eindeutig identifizierbar machen.

Mit der DSGVO hat der Gesetzgeber somit entsprechende Vorschriften für den Umgang mit biometrischen Daten zur Personenidentifizierung erlassen, da im Fall von Missbrauch oder Kompromittierung den betroffenen Personen lebenslange Nachteile drohen können. Biometrische Eigenschaften lassen sich nämlich nur operativ verändern 😊.

Was ist daher, ohne Anspruch auf Vollständigkeit, zu tun?

  • Die Datenverarbeitung muss rechtlich zulässig sein.
    Hier dürfte die freiwillige schriftlich oder in Textform erteilte Einwilligung die einzige Möglichkeit darstellen (Freiwilligkeit sollte gegeben sein, wenn nicht nur Fingerprint sondern alternativ auch ein Passwort oder PIN Code zur Identifikation zur Verfügung gestellt werden). Ein bloßes Nutzen des Fingerprints stellt keine explizite Einwilligung dar.
  • Die Datenverarbeitung muss den gesetzlichen Vorgaben entsprechen.
    Das Prinzip der Datensparsamkeit muss in jedem Fall eingehalten werden. Daten sind zu löschen, sobald der Verarbeitungszweck erloschen ist.
  • Die Datenverarbeitung ist durch angemessene technische und organisatorische Maßnahmen zu schützen.
    Die Schutzziele sind die Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Der Fingerprint am Gerät ist mindestens nach Stand der Technik verschlüsselt abzulegen.
  • Die Betroffenen sind bereits bei Erhebung der Daten entsprechend zu informieren.
    Inhalte der Informationspflichten richten sich nach Art. 13 der DSGVO.

Für das DELTA Netconsult Team

Herzlichst,
Ihr Michael KARL

Michael KARL

IT Consultant
Michael KARL