Kürzlich hat die niederländische Datenschutzaufsichtsbehörde „Autoriteit Persoonsgegevens“ ein aufsehenerregendes Verfahren gegen ein niederländisches Unternehmen beendet, das Fingerabdrücke seiner Arbeitnehmer unrechtmäßig verarbeitet hatte. Die Konsequenz: Ein Rekordbußgeld in Höhe von 725.000 Euro.
Zugangskontrolle über Fingerabdruckscan
Hintergrund der Verarbeitung der Fingerabdrücke war eine Umstellung der Zugangskontrollen für das Unternehmensgelände. Statt der zuvor verwendeten gängigen Zutrittskarten, wollte das Unternehmen die Fingerabdrücke für den Zugang der Mitarbeiter verwenden. Schnell wurden mehrere Fingerabdruck-Scanstationen installiert. Aus den Scans wurden Templates erstellt und gespeichert. So wurden für jeden Arbeitnehmer ca. vier Fingerabdrücke erstellt. Dadurch entstanden 1.248 Scans von 337 Personen.
Fingerabdrücke sind biometrische Daten
Bei jedem Template handelt es sich um eine individuelle Verbindung von Scan und Mitarbeiter. Im Zentrum stehen dabei besondere personenbezogene Daten in Form von biometrischen Informationen im Sinne des Art. 4 Nr. 14 DSGVO. Bei derart sensiblen Daten müssen die besonderen Vorgaben der DSGVO berücksichtigt werden.
Datenerhebung muss transparent sein
Der Verantwortliche – hier das Unternehmen – muss dem Betroffenen gegenüber seiner Informationspflicht nachkommen. Beispielsweise muss er dem Betroffen gegenüber transparent machen, für welchen Zweck die Daten verarbeitet werden, wie lange er sie speichert oder ob Dritte an der Verarbeitung mitwirken. Die Scaneinrichtungen wurden jedoch so unerwartet und ohne weitere Erklärungen eingeführt, dass an ein transparentes Vorgehen vorliegend nicht zu denken war.
Arbeitnehmer müssen zustimmen
Der Arbeitgeber hatte die Scans der Fingerabdrücke in vielen Fällen pauschal mit Verweis auf den Arbeitsvertrag gerechtfertigt. In Einzelfällen wurden mündliche Zustimmungen eingeholt. Dieses Vorgehen ist jedoch problematisch. Denn grundsätzlich ist die Verarbeitung solcher besonders schutzwürdiger Daten untersagt. Nur eine ausdrückliche und freiwillige Einwilligung des Betroffenen kann eine solche Datenerhebung im Arbeitsverhältnis rechtfertigen.
Keine Freiwilligkeit bei Ungleichgewicht
Eine freiwillige Einwilligung liegt nur dann vor, wenn kein klares Ungleichgewicht zwischen den Beteiligten besteht. Die „Autoriteit Persoonsgegevens“ hatte jedoch angenommen, dass die Angestellten aufgrund ihres Arbeitsverhältnisses in einem klaren Abhängigkeitsverhältnis zu dem Unternehmen stehen und eine freiwillige Einwilligung nicht möglich sei.
Modernisierung ja, aber datenschutzkonform
Unternehmen, die an einer Digitalisierung ihrer Infrastruktur und Arbeitsprozesse interessiert sind, sollten bei der Verarbeitung von Arbeitnehmerdaten immer auch die datenschutzrechtlichen Vorgaben im Blick behalten. Für die Umsetzung einer datenschutzkonformen Modernisierung, sollten daher frühzeitig Datenschutzexperten ein rechtssicheres Konzept zur Datenverarbeitung erstellen.
Ansonsten drohen auch Unternehmen in Deutschland – wie das jüngste Beispiel zeigt – empfindliche Bußgelder. Das niederländische Unternehmen muss nun 725.000 Euro zahlen, was durch vorherige Beratung hätte verhindert werden können. Gern stehen Ihnen unsere Experten bei allen unternehmerischen Digitalisierungsprojekten zur Verfügung. Zögern Sie nicht, mit Ihren Fragen auf uns zuzukommen.
Weiterlesen:
Fingerabdruck zur Zeiterfassung nach Einwilligung des Arbeitnehmers möglich
Sechs Gründe, warum Sie Ihr Unternehmen jetzt digitalisieren sollten