Personenbezogene Daten auf Chipkarten – Worauf Unternehmen im Datenschutz achten müssen

Lesezeit: 4 Min

DS-GVO-konform mit Zugangsdaten arbeiten

Immer mehr Unternehmen nutzen Chipkarten in den unterschiedlichsten Bereichen. Egal ob damit das Essen in der Kantine über ein Mitarbeiterkonto beglichen wird, Arbeitszeiten erfasst oder Zugangsrechte im Gebäude erteilt werden: Auf den Chipkarten oder anderen Datenträgern werden in vielen Fällen auch personenbezogene Daten gespeichert und im entsprechenden System verarbeitet.

Um den Datenschutz zu gewährleisten, müssen Unternehmen dabei einige Punkte beachten und die Chipkarten müssen verschiedene Anforderungen erfüllen. Für den Verantwortlichen gilt es dabei die unterschiedlichen Vorgaben unter anderem aus der Datenschutzgrundverordnung (DS-GVO) zu beachten.

Personenbezogene Daten auf Chipkarten – Zweckbindung und Datensparsamkeit

Bei der Erfassung und Speicherung von personenbezogenen Daten auf einer Chipkarte oder auf einem anderen Datenträger, handelt es sich um eine Verarbeitung von personenbezogenen Daten. Diese unterliegt demnach den Vorgaben aus dem Datenschutz, die vor allem in der Datenschutzgrundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG) festgelegt sind.

Daher muss der Verantwortliche die Grundsätze des Datenschutzes beachten (lesen Sie mehr zu den Grundsätzen hier). Dazu gehört auch, dass nur so viele Daten verarbeitet werden, wie für den Zweck überhaupt benötigt werden (Datensparsamkeit). Ebenso dürfen die personenbezogenen Daten, welche für diesen Zweck gespeichert werden auch nur für diesen genutzt werden (Zweckbindung). Anmerkung: Welche Daten darüber hinaus z.B. für stichprobenartige Kontrollen bezüglich des Arbeitsrechtes genutzt werden dürfen, muss ein Fachmann im Einzelfall beurteilen.

Transparenz bei der Verarbeitung von personenbezogenen Daten

Gerade bei der Erfassung der personenbezogenen Daten im Bereich von Chipkarten-Systemen oder anderen Datenträgern, muss auf die Transparenz der Verarbeitung von personenbezogenen Daten gegenüber dem Betroffenen ein besonderes Augenmerk gelegt werden.

Die Betroffenenrechte stehen darum auch hier am Anfang jeder Verarbeitung. Dadurch soll die nötige Transparenz darüber geschaffen werden, welche Daten verarbeitet werden, zu welchem Zweck und wie lange sie gespeichert bzw. verarbeitet werden. Bei der Erfassung der Daten stehen die Informationspflichten für Betroffene daher im Fokus.

Verantwortliche sollten aber auch die Löschfristen nicht aus den Augen verlieren. Je nachdem warum die Daten auf einer Chipkarte gespeichert werden, gelten unterschiedliche Löschfristen. Wichtig ist dabei zu beachten, dass sich die Löschfristen an den gesetzlichen Aufbewahrungsfristen und an der Dauer des Zwecks orientieren. Wenn nicht gesetzlich anders geregelt, müssen die personenbezogenen Daten nach Ablauf des Zwecks gelöscht werden. Bei den Chipkarten-Systemen kann es dabei auch zur Löschung einzelner Aufzeichnungen kommen, die personenbezogene Daten enthalten, z.B. wenn eine Abrechnung erfolgt ist und die Daten aus rechtlicher Sicht und für den Zweck nicht mehr benötigt werden.

Anforderungen an Chipkarten im Datenschutz

Um den Datenschutz bei Chipkarten und anderen Datenträgern, welche personenbezogene Daten beinhalten oder speichern, sicher zu stellen, werden unterschiedliche Anforderungen an die Systeme notwendig. Demnach müssen Chipkarten beispielsweise:

• erforderliche Zutritts- und Zugangsberechtigungen abbilden können
• nicht durch Unbefugte auslesbar sein (Verschlüsselung)
• fälschungssicher sein
• Merkmale zur Identifikation des Benutzers vorweisen
• durch eine Sperrung nach Fehlversuchen Missbrauch vorbeugen
• nicht manipulierbar sein
• durch Befugte sperrbar sein
• mit ausfallsicheren Lesegeräten und verschlüsselt ausgelesen werden

Darüber hinaus muss jede Verarbeitung im Datenschutzmanagementsystem mit den entsprechenden Vorgaben eingearbeitet werden. Das bedeutet, die Chipkarten-Nutzung muss mit den entsprechenden technischen und organisatorischen Maßnahmen (TOM), die oben aufgeführt sind geschützt werden. Außerdem muss die Verarbeitung der personenbezogenen Daten im Verzeichnis von Verarbeitungstätigkeiten (VVT) aufgenommen werden. Bei besonders sensiblen personenbezogenen Daten muss darüber hinaus geprüft werden, ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss.

Digitale Zeiterfassung und DS-GVO – die Einwilligung

Bei der Verwendung von Chipkarten-Systemen zu unterschiedlichen Erfassungen, sollte immer geprüft werden, ob eine Einwilligung des Betroffenen notwendig ist. Dabei ist festzuhalten, dass die Verarbeitung von personenbezogenen Daten grundsätzlich nicht erlaubt ist. Das Verbot mit Erlaubnisvorbehalt macht aber eine Verarbeitung dann möglich, wenn gesetzliche Grundlagen bestehen, die eine Verarbeitung notwendig machen oder eine Einwilligung vom Betroffenen vorliegt. Mehr darüber, wann personenbezogene Daten verarbeitet werden dürfen, lesen Sie in unserem Blog.

Zur Beurteilung, ob und wie die personenbezogenen Daten verarbeitet werden dürfen, sollte immer ein Fachmann in Form eines (externen) Datenschutzbeauftragten hinzugezogen werden. In vielen Situationen ist eine Entscheidung im Einzelfall zu treffen.

Chipkarten-Management

Eine wichtige Rolle bei der Verwendung von Chipkarten oder anderen Datenträgern mit personenbezogenen Daten, ist das Chipkarten-Management.  Es sollte dabei sichergestellt werden, dass personenbezogene Daten sicher, vollständig und zum richtigen Zeitpunkt von der Chipkarte und aus dem System gelöscht werden, ggf. Chipkarten und Datenträger auch DS-GVO-konform vernichtet werden.

Sollten Daten noch weiterhin gespeichert werden müssen, muss sichergestellt werden, dass diese nicht für Unbefugte zugänglich sind. Ein Chipkarten-Management sollte daher auch sicher und datenschutzkonform durchdacht sein und mit den entsprechenden Sicherheitsmechanismen ausgestattet werden.

Mögliche Weitergabe der Daten -AV-Verträge

Je nachdem welches System genutzt wird und welche weiteren Anbieter (z.B. Kreditkartenanbieter bei Zahlungsmöglichkeiten mit der Firmenchipkarte, aber auch bei servergesteuerten Zeitabrechnungen) bei der Verarbeitung genutzt werden, sollte auch geprüft werden, welche personenbezogenen Daten an Dritte weitergegeben werden.

Hierbei muss dann unter umständen auch ein sogenannter Auftragsverarbeitungsvertrag (AV-Vertrag) abgeschlossen werden. Dabei wird die datenschutzkonforme Verarbeitung der personenbezogenen Daten des Betroffenen bei der Auftragsverarbeitung sichergestellt.

Mögliche Hinweise auf den Datenschutz sollten bereits in Betriebsvereinbarungen zur Chipkartennutzung eingearbeitet werden. Eine Verschlüsselung der Daten ist darüber hinaus in jedem Fall notwendig (keine Speicherung und Übermittlung von Daten im Klartext), um die Sicherheit der personenbezogenen Daten zu gewährleisten.

Beurteilung der Systeme erfordert einen Fachmann

Um sicher zu sein, dass die Nutzung der entsprechenden Karten und Systeme den Ansprüchen der DS-GVO standhalten können, sollte ein Fachmann hinzugezogen werden. Da es sich hierbei sowohl um eine Bewertung aus dem Blickwinkel des Datenschutzes, als auch aus der IT-Sicherheit heraus handelt, sollten (externer) Datenschutzbeauftragter und IT-Fachmann die Situation bewerten. IT-Sicherheit und Datenschutz müssen hierbei ineinandergreifen.

Eine Beurteilung sollte vor der Einführung neuer Systeme geschehen und alle Schwerpunkte des Datenschutzes, der IT-Sicherheit und unter Umständen auch des Arbeitsrechts umfassen.

Das Team von Datenschutzberater.NRW hat das Knowhow aus Datenschutz, IT und Steuerrecht und unterstützt Sie gerne bei Fragen rund um den Datenschutz. Haben Sie Fragen zum Datenschutz oder möchten mehr über unser Angebot erfahren, dann finden Sie erste Informationen hier oder nehmen Sie direkt mit uns Kontakt auf.

Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten. Wir betreuen Mandanten im Großraum Köln, Düsseldorf, Bonn, Siegen, Gummersbach, Siegburg und ganz NRW.