| Die Holländische Datenschutz-Aufsichtsbehörde „Autoriteit Persoonsgegevens“ hat das bis dato höchste Bußgeld (innerhalb Hollands) seit Einführung der Datenschutz-Grundverordnung erlassen. Wie es zu dem 725.000€-Bußgeld kam und wie die Aufsichtsbehörde den Sachverhalt bewertet, lesen Sie hier. Was ist vorgefallen? Jedes Unternehmen macht sich sicherlich Gedanken, wie die Zutrittskontrolle innerhalb des Geländes oder des Gebäudes optimiert werden kann. Dies dachte sich ebenfalls ein holländisches Unternehmen und wollte die gängigen Zutrittskarten nicht mehr einsetzen und stattdessen die Fingerabdrücke der Mitarbeiter nutzen. Der Arbeitgeber hat mehrere Fingerabdruck-Scan-Stationen installieren lassen. Diese Stationen scannen den Fingerabdruck, berechnen daraus ein Template und speichern die Informationen in einer Software. Dadurch einsteht eine individuelle und einzigartige Verbindung zu einer Person – vergleichbar mit einer Mitarbeiter-ID. Die Aufsichtsbehörde wurde durch einzelne Mitarbeiter aufmerksam gemacht und begann eine Untersuchung. Interne Dokumente des Unternehmens wiesen darauf hin, dass in der Regel vier Fingerabdrücke pro Person abgegeben wurden. Insgesamt fielen 337 Personen mit 1.348 einzigartigen Fingerabdrücken unter dieser Verarbeitung. Was hat das Unternehmen falsch gemacht? Im Fokus stehen die Fingerabdrücken der Mitarbeiter. Bei Fingerabdrücken handelt es sich um besondere personenbezogene Daten in Form von biometrischen Daten nach Art. 4 Nr. 14 DSGVO. „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen“ Treue Leser unseres Blogs können sich an dieser Stelle sicherlich schon die Problematiken des Falls ausmalen. Transparenz und Rechtmäßigkeit bilden die Grundlagen des Datenschutzes. Demnach sind nach Art.5 DSGVO die Grundsätze in jeder Verarbeitung von personenbezogenen Daten einzuhalten. Liegt dies nicht vor, kann stets von einer unrechtmäßigen Datenverarbeitung ausgegangen werden. Transparenz Bei der Untersuchung der Aufsichtsbehörde wurden einige Mitarbeiter befragt. Dabei kam heraus, dass die Systeme wohl sehr überraschend und unerwartet eingeführt wurden. Zudem erhielten die Mitarbeiter keine Informationen über den Verarbeitungsumfang. Dies lässt auf das Nichteinhalten von Art.13 DSGVO schließen. Die Transparenz ist insofern wichtig, dass der Betroffene das Bestehen und den Umfang einer Verarbeitung verstehen soll. Hierbei konnte die holländische Aufsichtsbehörde nachweisen, dass dem nicht ausreichend nachgekommen wurde und ebenfalls die Rechenschaftspflicht außer Acht gelassen wurde. Rechtmäßigkeit Datenschutzbeauftragten wird oftmals nachgesagt, dass sie gerne Prozesse definieren. Dies hätte jemand dem Unternehmen ebenfalls ans Herz legen sollen. Eine Verarbeitung von besonderen personenbezogene Daten stellt i.d.R. einen größeren Aufwand für Verantwortliche dar, denn im Vergleich zu herkömmlichen personenbezogenen Daten sind diese schutzwürdiger. Daher ist eine Verarbeitung unmittelbar nach Art .9 Abs. 1 DSGVO untersagt. Davon ist abzusehen, wenn eine Ausnahme nach Art. 9 Abs. 2 DSGVO greift. Die Aufsichtsbehörde hat einige Mitarbeiter nach der notwendigen Rechtsgrundlagen befragt. Hierbei gab es unterschiedliche Aussagen. Ein Großteil der Mitarbeiter wurde mit einem Verweis auf den Arbeitsvertrag getröstet – einige haben wohl eine mündliche Einwilligung gegeben. Freiwilligkeit Soweit besondere personenbezogene Daten auf Grundlage von Art. 9 Abs. 2 lit. a DSGVO in Form einer Einwilligung verarbeitet werden sollen, müssen die Anforderungen aus Art. 7 DSGVO erfüllt werden. Im Fokus steht hierbei die Freiwilligkeit der Einwilligung. Die Freiwilligkeit wird im Erwägungsgrund 43 weiter erläutert. Demnach kann keine Freiwilligkeit vorliegen, soweit ein klares Ungleichgewicht besteht. Nach Auffassung der Autoriteit Persoonsgegevens liegt hierbei der Knackpunkt. Die Mitarbeiter können in Anbetracht ihres Arbeitsverhältnisses keine freiwillige Einwilligung geben, da ein klares Abhängigkeitsverhältnis besteht. Zudem hat das Unternehmen grundsätzlich keine Rechtsgrundlage für die Verarbeitung definiert und verwendet. Was lernen wir daraus? Achten Sie darauf, dass besondere personenbezogene Daten auch besonders behandelt werden sollten. Es ist sicherlich reizend die Digitalisierung in sein Unternehmen einfließen zu lassen, jedoch nicht um jeden Preis. Eine Abwägung sollte vor jeder neuen Implementierung solcher Systeme stattfinden. Wir empfehlen den Datenschutzbeauftragten frühestmöglich in den Prozess einzubinden, um solche Bußgelder zu vermeiden. Über die Anforderungen an ein biometrisches Authentifizierungssystem haben wir bereits berichtet. Beitrag hier kommentieren | 