personenbezogene Daten

Worauf bei der Verarbeitung von biometrischen Daten zu achten ist

Fingerabdruck, Iris-Scan und Gesichtserkennung – immer, wenn es um die Sicherung von Daten und die möglichst sichere Zugangsbeschränkung verschiedener Bereiche geht, kommen diese neuen Techniken ins Gespräch. Smartphones und andere mobile Endgeräte werden bereits mit Gesichtserkennung oder Fingerabdruck entsperrt. Längst sind sie keine Zukunftsmusik mehr und werden auch für andere Bereiche ins Auge gefasst.

Was, wenn man bei der Stempeluhr die Arbeitszeit nicht mehr mit einem Chip oder ähnlichen, sondern mit dem Fingerabdruck oder einem Iris-Scan tätigt oder auch in anderen Arbeitsbereichen diese Technologien eingesetzt werden? Die wenigsten wissen: auch diese verarbeiteten Daten sind personenbezogene Daten und unterliegen somit bei der Verarbeitung den Vorgaben im Datenschutz.

Was sind biometrische Daten im Datenschutz?

Die DS-GVO definiert biometrische Daten wie folgt:

Art. 4 DS-GVO Begriffsbestimmungen: Im Sinne dieser Verordnung bezeichnet der Ausdruck:

[…]14. „biometrische Daten“ mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten; […]

Biometrische Daten sind dabei sogenannte personenbezogene Daten besonderer Kategorien im Datenschutz. Das bedeutet, dass die Vorgaben zur Verarbeitung dieser Daten besonderen Kriterien unterliegen. Werden diese nicht erfüllt, ist die Verarbeitung von biometrischen Daten nicht erlaubt.

Unter anderem müssen für die Verarbeitung dieser Art von Daten Gründe vorliegen, weshalb die Verarbeitung erlaubt ist. Zu diesen Gründen können zählen:

  • Ausdrückliche Einwilligung des Betroffenen zur Verarbeitung für einen oder auch mehrere Zwecke
  • Verarbeitung ist erforderlich, damit der Verantwortliche oder der Betroffene gesetzlichen Vorgaben nachgehen kann
  • die Verarbeitung ist zum Schutz lebenswichtiger Interessen notwendig

Rechtliche Grundlagen müssen vorliegen

Auch und vor allem bei der Verarbeitung von biometrischen Daten, muss auf die rechtlichen Grundlagen geachtet werden. Im Alltag ist nicht allen Verantwortlichen klar, wo und wann personenbezogene Daten verarbeitet werden. Dazu gehört auch die Verarbeitung der unterschiedlichsten biometrischen Daten.

Ohne das Vorliegen einer rechtlichen Grundlage, dürfen biometrische Daten nicht verarbeitet werden. Biometrische Daten gehören deswegen zu den personenbezogenen Daten der besonderen Kategorien, weil Sie jeden Menschen unverwechselbar identifizieren. Sie müssen also besonders geschützt werden.

Schutz der biometrischen Daten durch TOMs

Es geht im Datenschutz darum, dass der Betroffene vor Schaden durch den Missbrauch seiner personenbezogenen Daten geschützt wird. Um dies im Datenschutz zu gewährleisten, müssen entsprechende technische und organisatorische Maßnahmen (TOM) getroffen werden.

Hierbei geht es darum, dass die personenbezogenen Daten des Betroffenen sowohl bei der digitalen, aber auch der manuellen Verarbeitung entsprechend zu schützen. Technische und organisatorische Maßnahmen können zum Beispiel sein:

BLOG-TIPP: TECHNISCHE UND ORGANISATORISCHE MASSNAHMEN (TOM) FÜR UNTERNEHMEN IN NRW

Darüber hinaus muss bei der Verarbeitung der personenbezogenen Daten besonderer Kategorien auch eine Risikoanalyse und unter Umständen eine Datenschutzfolgenabschätzung durchgeführt werden. Hierbei werden das Risiko und mögliche Folgen für den Betroffenen bei einem möglichen Verlust der personenbezogenen Daten eingeschätzt. Entsprechend müssen darauf hin die Maßnahmen zum Schutz angepasst werden.

BLOG-TIPP: DATENSCHUTZ-FOLGENABSCHÄTZUNG NACH DS-GVO

Dokumentation der Verarbeitung im Datenschutz

Damit die personenbezogenen Daten ausreichend geschützt werden können, muss festgestellt werden, in welchen Prozessen eine Verarbeitung stattfindet. Im Datenschutz ist es auch verpflichtend, dass jede Verarbeitung von personenbezogenen Daten entsprechend dokumentiert wird.

Dies muss im sogenannten Verzeichnis von Verarbeitungstätigkeiten (VVT) erfolgen. Darüber hinaus muss der Betroffene natürlich über die Verarbeitung informiert und seine Betroffenenrechte gewahrt werden.

BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW

Umgang mit biometrischen Daten in Unternehmen

Im Umgang mit biometrischen Daten von Mitarbeitern, Interessenten, Kunden, Besuchern usw. müssen Unternehmen und andere Organisationen also verschiedene Datenschutzvorgaben einhalten. Dabei ist es wichtig, dass sicher dokumentiert und identifiziert wird, wo personenbezogene Daten verarbeitet werden.

In vielen Fällen kann dies sehr komplex sein und daher sollte der (externe) Datenschutzbeauftragte bei einer solchen datenschutzkonformen Verarbeitung immer zu Rate gezogen werden.

Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.

Wir betreuen Mandanten in KölnDüsseldorfSiegen, Bonn, Siegburg und ganz NRWLesen Sie mehr zu unserem individuellen Angebot.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.

Biometrie und Datenschutz
Markiert in:                 
Anfrage