Der Fingerabdruckscanner am Eingang, die Gesichtserkennung am Laptop, die Stimmanalyse im Callcenter – biometrische Verfahren sind technisch faszinierend und praktisch. Aber aus Datenschutzsicht sind sie ein Minenfeld.
Biometrische Daten lassen sich nicht ändern. Wenn jemand Ihr Passwort stiehlt, vergeben Sie ein neues. Wenn jemand Ihren Fingerabdruck kopiert, haben Sie ein permanentes Problem. Genau deshalb stuft die DSGVO biometrische Daten als besondere Kategorie ein – mit strengen Verarbeitungsregeln.
Dieser Artikel erklärt, was die DSGVO von Ihnen verlangt, welche Fallstricke es gibt und wie Sie biometrische Daten rechtssicher einsetzen.
Art. 4 Nr. 14 DSGVO definiert biometrische Daten als personenbezogene Daten, die durch spezielle technische Verfahren zur eindeutigen Identifizierung einer Person gewonnen werden. Dazu gehören:
Entscheidend ist der Zweck: Werden biometrische Daten zur Identifizierung eingesetzt, fallen sie unter Art. 9 DSGVO – die besonders geschützten Datenkategorien. Die Verarbeitung ist dann grundsätzlich verboten, mit eng begrenzten Ausnahmen.
Die Ausnahmen nach Art. 9 Abs. 2 DSGVO sind begrenzt. Für Unternehmen relevant sind vor allem:
Ausdrückliche Einwilligung (Art. 9 Abs. 2 lit. a): Der Betroffene muss freiwillig, informiert und unmissverständlich zustimmen. Im Arbeitsverhältnis ist echte Freiwilligkeit besonders schwer nachzuweisen, weil ein Abhängigkeitsverhältnis besteht.
Arbeitsrechtliche Erforderlichkeit (Art. 9 Abs. 2 lit. b): Greift nur, wenn die Verarbeitung zur Ausübung von Rechten aus dem Arbeitsrecht zwingend erforderlich ist. Für eine Zeiterfassung per Fingerabdruck reicht das in der Regel nicht – es gibt mildere Mittel.
Erhebliches öffentliches Interesse (Art. 9 Abs. 2 lit. g): Relevant für Sicherheitsbereiche, Grenzkontrolle oder Strafverfolgung. Für die meisten KMU nicht einschlägig.
Das Bundesarbeitsgericht hat klargestellt, dass Fingerabdruck-Zeiterfassung ohne echte Freiwilligkeit unzulässig ist. Mitarbeiter müssen eine gleichwertige Alternative haben (z.B. Chipkarte). Eine betriebliche Anweisung ohne Wahlmöglichkeit genügt nicht als Einwilligung.
Wo begegnen biometrische Daten im KMU-Alltag? Häufiger als gedacht:
Zeiterfassung per Fingerabdruck: Verbreitet, aber rechtlich heikel. Sie brauchen eine freiwillige Einwilligung, eine DSFA und eine gleichwertige Alternative für Mitarbeiter, die nicht zustimmen möchten.
Zutrittskontrolle per Gesichtserkennung: In Hochsicherheitsbereichen denkbar, für normale Büros unverhältnismäßig. Eine Chipkarte erfüllt den gleichen Zweck mit weniger Eingriff in Persönlichkeitsrechte.
Laptop-Entsperrung per Fingerabdruck oder Face ID: Hier bleiben die Daten auf dem Gerät des Mitarbeiters. Solange keine zentrale Speicherung erfolgt, ist das datenschutzrechtlich deutlich weniger problematisch.
Stimmbiometrie im Kundenservice: Vereinzelt zur Authentifizierung von Anrufern eingesetzt. Erfordert explizite Einwilligung der Kunden und eine Alternative.
Wenn biometrische Daten tatsächlich erforderlich sind, müssen Sie diese Schritte einhalten:
Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen – ohne dabei den Geschäftsbetrieb einzustellen.
Nils OehmichenDatenschutzberater bei frag.hugo
Biometrische Daten erfordern besondere technische Schutzmaßnahmen:
| Maßnahme | Warum | Umsetzung |
|---|---|---|
| Template statt Rohdaten | Fingerabdruckbild lässt sich missbrauchen, Template nicht | Biometrisches System so konfigurieren, dass nur Hash/Template gespeichert wird |
| Verschlüsselung | Schutz bei Diebstahl des Speichermediums | AES-256 für gespeicherte Templates |
| Zugriffsbeschränkung | Nur autorisiertes Personal | Rollenbasiertes Zugriffskonzept, Protokollierung |
| Löschkonzept | Daten nicht länger als nötig vorhalten | Automatische Löschung bei Austritt, Widerruf oder Zweckentfall |
Prüfen Sie Ihren technischen Datenschutz mit unserem kostenlosen Website-Check – zumindest für Ihre Online-Präsenz bekommen Sie sofort Ergebnisse.
Sie planen den Einsatz biometrischer Systeme oder haben bereits welche im Einsatz? Wir prüfen die DSGVO-Konformität und begleiten Sie bei der Datenschutz-Folgenabschätzung.
Biometrie-Check für Ihr Unternehmen
Wir prüfen, ob Ihre biometrischen Systeme DSGVO-konform sind – und zeigen pragmatische Alternativen, wenn nicht.
Erstgespräch buchen →Biometrische Daten sind laut Art. 4 Nr. 14 DSGVO personenbezogene Daten, die durch spezielle technische Verfahren gewonnen werden und die eindeutige Identifizierung einer Person ermöglichen. Dazu gehören Fingerabdrücke, Gesichtsgeometrie, Iris-Muster und Stimmprofile.
Nur mit ausdrücklicher, freiwilliger Einwilligung der Mitarbeiter nach Art. 9 Abs. 2 lit. a DSGVO. Das BAG hat 2023 entschieden, dass eine betriebliche Anordnung ohne echte Freiwilligkeit nicht ausreicht. Es muss immer eine gleichwertige Alternative geben.
Biometrische Daten zur Identifizierung sind besondere Kategorien nach Art. 9 DSGVO. Ihre Verarbeitung ist grundsätzlich verboten – mit eng definierten Ausnahmen wie ausdrücklicher Einwilligung, Arbeitsrecht oder erheblichem öffentlichen Interesse.
Bei biometrischen Daten zur Identifizierung ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO Pflicht. Sie müssen Risiken bewerten, Maßnahmen dokumentieren und prüfen, ob die Verarbeitung verhältnismäßig ist.
Biometrische Daten müssen verschlüsselt gespeichert, streng zugangsbeschränkt und nach Zweckerfüllung unverzüglich gelöscht werden. Die Speicherung der Rohdaten (z.B. Fingerabdruckbilder) sollte vermieden werden – stattdessen nur mathematische Templates speichern.
Inhaltsverzeichnis
Pseudonymisierung vs. Anonymisierung nach DSGVO: Unterschiede, Pflichten und wie Unternehmen personenbezogene Daten rechtskonform verarbeiten.
WeiterlesenProfiling nach DSGVO: Wann ist Profiling erlaubt, welche Rechte haben Betroffene und wie setzen KMU Kundendatenanalyse rechtskonform um?
WeiterlesenDatensparsamkeit DSGVO: Warum weniger Daten mehr Schutz bedeuten. Pflichten, Umsetzung und Praxistipps für KMU – Art. 5 Abs. 1 lit. c.
Weiterlesen Über den Autor
Datenschutzberater & Geschäftsführer
Nils ist zertifizierter Datenschutzbeauftragter und Geschäftsführer der frag.hugo Informationssicherheit GmbH. Er berät mittelständische Unternehmen zu DSGVO, NIS2 und IT-Sicherheit – praxisnah und verständlich.
Vereinbaren Sie ein unverbindliches Erstgespräch mit unseren Experten. Wir beraten Sie persönlich zu Datenschutz, NIS2 und IT-Sicherheit.
