Biometrische Daten sind nach Art. 4 Nr. 14 DSGVO personenbezogene Daten, die mit speziellen technischen Verfahren gewonnen werden und die eindeutige Identifizierung einer natürlichen Person ermöglichen (Fingerabdruck, Iris-Scan, Gesichtserkennung, Stimmerkennung).
Grundsätzliches Verbot: Die Verarbeitung biometrischer Daten zur eindeutigen Identifizierung fällt unter Art. 9 Abs. 1 DSGVO und ist grundsätzlich verboten. Lichtbilder sind erst dann biometrische Daten, wenn sie mit speziellen technischen Mitteln zur Identifizierung verarbeitet werden (EG 51 DSGVO).
Ausnahmen (Art. 9 Abs. 2 DSGVO):
- Ausdrückliche Einwilligung (lit. a): Die betroffene Person stimmt der biometrischen Erfassung ausdrücklich zu. Im Beschäftigungsverhältnis ist dies wegen des Abhängigkeitsverhältnisses problematisch.
- Arbeits- und Sozialrecht (lit. b): Im Beschäftigungskontext nach Paragraph 26 Abs. 3 BDSG, wenn zur Erfüllung arbeitsrechtlicher Pflichten erforderlich. Die Erforderlichkeit ist streng zu prüfen.
- Erhebliches öffentliches Interesse (lit. g): Z.B. Grenzkontrolle, Strafverfolgung (mit gesetzlicher Grundlage).
DSK-Positionspapier Biometrische Analyse (April 2019):
- Art. 9 DSGVO greift bei biometrischer Identifizierung, nicht bei jeder biometrischen Verarbeitung
- 8 konkrete Anwendungsfälle werden bewertet: Schulessen-Fingerabdruck (kritisch - mildere Mittel vorhanden), Firmenzugang (ggf. zuläßig bei hohem Sicherheitsbedarf), Flughafenkontrolle (gesetzliche Grundlage)
- Nicht-kooperative biometrische Erkennung (ohne Wissen des Betroffenen) ist besonders eingriffsintensiv
- Emotional Decoding (Gefühlsanalyse per Kamera) für Werbezwecke ist äusserst kritisch
Zeiterfassung: Biometrische Zeiterfassung (Fingerabdruck) ist in der Regel unverhältnismäßig, da mildere Mittel (Chipkarte, PIN) zur Verfügung stehen.