Initiative gerechter Marktwirtschaft

 
 
 

Die Seite "Betriebsvereinbarung Biometrie" als PDF

Betriebsvereinbarung Biometrie

Einsatz biometrischer Systeme im Unternehmen

Das Unternehmen besteht auf den Einsatz biometrischer Systeme und verlangt z.B. die Fingerabdrücke der Mitarbeiter. Doch was soll in der jetzt erforderlichen Betriebsvereinbarung stehen? Wie können die berührten Persönlichkeitsrechte und die kollektive Einschränkung des Grundrechtes der Informationellen Selbstbestimmung einer ganzen Belegschaft, einzelner Abteilungen oder auch einzelner Arbeitnehmer am besten geschützt und vertreten werden? Kann die Hoheit über die eigenen Daten behalten werden?

Diese Seite liefert einen kurzen Überblick welche Meinungen, Anforderungen und Interessen Datenschützer, Arbeitgeber und Arbeitnehmer vertreten und stellt ausdrücklich keine rechtliche Beurteilung oder Beratung dar, sondern dient nur zu Zwecken der  Information.


1. Was Datenschützer sagen

2. Was Unternehmen sagen

3. Was Arbeitnehmer sagen

 

1. Was Datenschützer sagen

Der Arbeitskreis "Technische und organisatorische Datenschutzfragen" der Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat eine

Orientierungshilfe "Biometrische Authentisierung – Möglichkeiten und Grenzen"

veröffentlicht. PDF - Stand 2. November 2009


Auszug aus der Orientierungshilfe:

  • Die wichtigsten Erkennungsarten bei der Überprüfung sind die biometrische Verifikation (1:1-Vergleich) und die biometrische Identifikation (1:n-Vergleich).

  • Aus datenschutzrechtlicher Sicht ist wegen der Datensparsamkeit und -vermeidung der biometrischen Verifikation eindeutig der Vorzug vor der biometrischen Identifikation zu geben. Dies gilt insbesondere bei einer dezentralen Speicherung der Referenzdaten.

  • Das Dokument benennt auch den Aspekt, dass von etwa 2% der Bevölkerung kein brauchbares Template zu späteren Vergleichszwecken gewonnen werden kann. Dies gilt vor allem für Fingerabdrücke, bei denen FTEs (Failure to Enroll Rate) von ca. 2% der Gesamtbevölkerung ermittelt worden sind. Betroffene Mitarbeiter sind daher vor Diskriminierung zu Schützen und entsprechende Alternativen anzubieten.

Die Orientierungshilfe liefert einen guten Einblick, wie mit Biometrie in Unternehmen umgegangen werden kann.

Auf was Experten noch hinweisen

Institut für Betriebliche Mitbestimmung:
Einsatz Biometrischer Verfahren im Unternehmen - Finger weg vom Fingerprint

  • Datenschutzgerechte Lösung suchen. Verwenden Sie wenn möglich Systeme, welche die Daten einzig verschlüsselt auf einer Smartcard speichern. Somit bleiben die Daten im Besitz der Betroffenen.

  • Gesichtserkennung bietet die Möglichkeit, Aussagen über den gesundheitlichen Zustand der Mitarbeiter zu treffen.

  • TeleTrust rät ein nicht diskriminierendes Ersatzsystem anzubieten. Nicht nur für den Fall, dass die Biometrie nicht anwendbar ist, sondern auch dann, wenn sich  Betroffene ohne nähere Nennung von Gründen gegen die Nutzung von Biometrie entscheiden.


2. Was Unternehmen sagen

Der TeleTrust Deutschland e.V. vertritt etwa 90 Mitglieder aus Industrie, Wissenschaft und Forschung sowie einzelne öffentliche Institutionen.

Eine Arbeitsgruppe 6 "Biometrische Identifikationsverfahren" - AK "Rechtliche Aspekte der Biometrie"

hat die

"Orientierungshilfe für eine Betriebsvereinbarung beim Einsatz biometrischer Systeme"

veröffentlicht.

Das Papier ist entstanden unter der externen Beratung von Rechtsanwalt Achim Thannheiser aus Hannover und durch Beteiligung der Bromba GmbH Biometrics, der Projektgruppe verfassungsverträgliche Technikgestaltung (provet) Uni Kassel, T-Systems, der Hessischen Datenschutzbeauftragten und dem BSI. Vertreter der Arbeitnehmerseite waren nicht beteiligt.

PDF - Stand 21.09.2005

Das umfangreiche Schriftwerk kann in einzelnen Punkten als Orientierung dienen, grenzt aber die Rechte der Arbeitnehmer in Bezug auf die Löschungsfristen zu weit ein und wiederholt fortlaufend ohnehin geltendes Recht. Zudem ist ein Nachwirken der BV bei Kündigung ausdrücklich im Text ausgeschlossen, so dass ein Recht auf Löschung der gespeicherten biometrischen Daten nach dem Zeitpunkt einer gekündigten BV unklar bleibt. Es stellt aber auch eindeutig die wünschenswerte Verifikation in den Vordergrund und führt auch einen diskriminierungsfreien Einsatz biometrischer Systeme an.



Auszug aus der Orientierungshilfe:

  • Diese Betriebsvereinbarung stellt eine Rechtsgrundlage im Sinne von § 4 I BDSG zur Erhebung, Verarbeitung und Nutzung personenbezogener Daten dar und schafft damit eine eigenständige Eingriffsgrundlage.

  • Nach Ausscheiden eines Arbeitnehmers aus der Firma oder nach Abschaffung der biometrischen Systeme sind die entsprechenden biometrischen Daten vollständig und unwiederbringlich zu löschen bzw. das Speichermedium zu vernichten.

  • Der Arbeitgeber hat die wirksame Umsetzung der nach § 9 und Anlage zu § 9 BDSG bzw. dem entsprechenden Landesdatenschutzgesetz erforderlichen technischen und organisatorischen Maßnahmen sicherzustellen und zu dokumentieren. Die Dokumentation ist dem Betriebsrat und dem betrieblichen Datenschutzbeauftragten zur Verfügung zu stellen.

  • Das biometrische System wird im Verifikationsmodus betrieben.

  • Um einen diskriminierungsfreien Einsatz des biometrischen Systems zu gewährleisten, ist ein Ersatzsystem zur Verfügung zu stellen, das für solche Arbeitnehmer vorgehalten wird, die über das betreffende biometrische Merkmal nicht oder nicht in der notwendigen Ausprägung verfügen.

...

3. Was Arbeitnehmer sagen

Das Recht auf Informationelle Selbstbestimmung ist eine Ausprägung des allgemeinen Persönlichkeitsrechts und wurde vom Bundesverfassungsgericht als Grundrecht anerkannt. Das Recht auf Informationelle Selbstbestimmung bezeichnet daher das Recht des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner personenbezogenen Daten zu bestimmen. Durch eine Betriebsvereinbarung zur Nutzung biometrischer Daten der Mitarbeiter können diese Rechte berührt werden und (Zitat aus dem Abschnitt "2. Was Unternehmer sagen") "schafft damit eine eigenständige Eingriffsgrundlage."



Deshalb stellen sich einige Fragen:

  • Ist die durch eine Betriebsvereinbarung ermöglichte Erfassung biometrischer Daten ein Eingriff in ein Grundrecht?

  • Kann ein Betriebsrat mit dem  Abschluss einer Betriebsvereinbarung zur Nutzung biometrischer Daten die kollektive Eingrenzung dieses Rechtes durch Sicherung anderer Rechte einen Ausgleich schaffen?

  • Können durch Mindestanforderungen mit der Zielsetzung zum weitestgehenden Erhalt der Informationellen Selbstbestimmung etwaige Einschränkungen des Grundrechtes so gering als möglich halten?

  • Wie kann die Hoheit über biometrische Daten weitestgehend erhalten werden?


Möglichkeiten zur Sicherung weitreichender Rechte bietet bei Kündigung einer Betriebsvereinbarung das Nachwirken einiger Vereinbarungen. Diese Punkte könnten aus Sicht des Einzelnen eine Mindestanforderung an eine Betriebsvereinbarung darstellen:

  • Es ist festzuhalten, dass die Nutzung biometrischer Daten nur für die beschriebenen und eindeutig definierten Zwecke zulässig ist. (Zutrittsberechtigung o.ä. )

    Zitat aus der AG6: "Beim Einsatz biometrischer Systeme innerhalb eines Betriebs ist der Datenschutz von größter Bedeutung. Deshalb muss eine derartige Zweckbindung eingehalten werden, dass die biometrischen Daten nur für eben den Einsatz erhoben, verarbeitet und genutzt werden, für den sie bereits vorher festgelegt wurden. Hier kommt es darauf an, dass der Zweck des Einsatzes vor der Einführung des biometrischen Systems festgelegt und hier in der Betriebsvereinbarung genau definiert wird. Dabei ist auch die Speicherungsdauer genau festzuschreiben und konsequent einzuhalten. Eine Auswertung über die reine Überprüfung der Berechtigung gemäß der vorab festgelegten Zweckbestimmung hinaus ist unzulässig. Dafür sind geeignete technische und organisatorische Maßnahmen zu treffen."

  • Es ist festzulegen, wer diesen Dienst betreibt. Eine im Betrieb befindliche Datenhaltung ist klar zu favorisieren, auch wenn diese extern administriert wird.
    Noch besser wäre es, wenn solche Systeme Verwendung fänden, welche die Daten einzig verschlüsselt auf einer Smartcard speichern. Somit bleiben die Daten im Besitz der Betroffenen.

  • Die Weitergabe biometrischer Daten an andere interne Dienststellen/Abteilungen/Mitarbeiter/Vorgesetzte oder an Dritte ist zu untersagen. Gesetzliche Verpflichtungen sind hiervon ausgenommen.

  • Versuche unerlaubter Übermittlung oder unerlaubter Weitergabe biometrischer Daten an Dritte müssen dem Betriebsrat und den betroffenen Mitarbeitern vollumfänglich gemeldet werden.

  • Es ist Vorsorge zu treffen, dass durch FTEs (Failure to Enroll Rate - siehe 1. Was Datenschützer sagen) betroffene Mitarbeiter keine Nachteile erleiden. Betroffene Mitarbeiter sind daher vor Diskriminierung zu schützen. Dazu müssen entsprechende und explizit zu formulierende Alternativen angeboten werden, damit die Betroffenen von der Arbeit nicht ausgeschlossen werden können (z.B. durch Kündigung durch den Arbeitgeber).

  • Ist für einen Mitarbeiter (z.B. durch Änderung der Aufgaben) eine Nutzung biometrischer Systeme nicht mehr erforderlich, hat die speichernde Stelle die biometrischen Daten des betroffenen Mitarbeiters innerhalb einer Woche/Monat zu vernichten und den Mitarbeiter über die erfolgreiche Löschung der biometrischen Daten zu informieren. (Eine vereinbarte Löschfrist die bis zum Zeitpunkt des Ausscheidens aus dem Unternehmen vereinbart wird, kann dem Recht auf informationelle Selbstbestimmung nicht gerecht werden und somit in manchen Fällen zu einer bis zu Jahrzehnte andauernden Speicherung nicht benötigter biometrischer Merkmale führen.)

  • Der Betriebsrat erhält auf Verlangen eines Mitarbeiters (dessen biometrische Daten nicht mehr benötigt werden) jederzeit Auskunft, ob die Daten des Mitarbeiters auch wirklich unwiderruflich gelöscht wurden.

  • Es ist nur dem System zwingend der Vorrang zu geben, das eine Verifikation und nicht eine Identifikation verwendet. Den Vorschlägen "der Konferenz der Datenschutzbeauftragten des Bundes und der Länder" würde damit Rechnung getragen.

Diese Punkte sollten in jedem Fall nachwirken, um Herr der Daten zu bleiben.

 

Was die Zukunft bringen könnte:

  • Dem Unternehmen kann ein zeitlich limitiertes Nutzungsrecht der biometrischen Daten übertragen werden, das für jeden biometrischen Datensatz (z. B. Fingerabdruck) einzeln gilt und unmittelbar an dem Tag erlischt, an dem die biometrischen Daten durch Ausscheiden des Mitarbeiters, Änderung der Aufgabe o.ä. nicht mehr zu Zwecken der Verifikation benötigt werden. Eine Weitergabe von Daten könnte damit bei entsprechender Formulierung und Eingrenzung eines  Nutzungsrechtes unterbunden werden. Diese Option könnte einige der genannten Punkte ersetzen. Die Entwicklung eines DRM wäre hierzu denkbar.

Sie haben bereits eine real abgeschlossene Betriebsvereinbarungen zum Thema Biometrie vorliegen und wollen diese in anonymisierter Form hier veröffentlichen oder haben Vorschläge zur Ergänzung wichtiger Punkte?

Dann senden Sie Ihre Vorschläge und Betriebsvereinbarungen per E-Mail an initiative-gm de. Sie und das Unternehmen bleiben garantiert anonym.

 

Biometrie

Biometrische Daten: Speichern und schützen.

Berührt die Biometrie das Recht auf Informationelle Selbstbestimmung?