DA+

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (38): Anwendungsfälle DS-GVO und nationales Recht : aus der RDV 6/2018, Seite 315 bis 317

Ausgewählt und kommentiert von Prof. Peter Gola*

Lesezeit 7 Min.

Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt hat Anfang September seinen XIII./XIV., die Zeiträume vom 04/2015 bis 05/2018 betreffenden Tätigkeitsbericht vorgelegt, der sich u.a. mit drei nachfolgend geschilderten Verarbeitungen bereits unter Geltung der DS-GVO nebst nationalem Recht befasst.

I. Biometrische Zeiterfassung und Einwilligung

Erneut (vgl. zuvor XII. Tätigkeitsbericht, Nr. 12.3) wurde u.a. auch schon mit Blick auf die DS-GVO eine mit Fingerabdruckerfassung praktizierte Zeiterfassung von neun Beschäftigte eines Arztpraxiszentrums (Ziff. 12.3 des TB) hinsichtlich der Zulässigkeit bewertet. Der Arbeitgeber begründete die neu eingeführte technische Überwachung damit, dass die Mitarbeiter zuvor ihre Arbeitszeiten mit sog. Stundenzetteln erfasst hätten, es jedoch dabei nachweislich mehrfach zum Arbeitszeitbetrug gekommen sei. Die Nutzung von sog. Stempeluhren scheide aus, da auch dabei Arbeitszeitbetrug stattfinden könnte. Die Mitarbeiter seien mit einer Arbeitsanweisung über das Fingerabdrucksystem informiert worden und hätten ihr schriftliches Einverständnis erklärt.

Der LfD erkannte in der Erklärung der Mitarbeiter jedoch keine tragfähige Rechtsgrundlage für die Datenerfassung. Dabei ging er davon aus, dass die für die Wirksamkeit einer Einwilligung erforderliche Freiwilligkeit im Beschäftigungsverhältnis infolge des Ungleichgewichts der Verhandlungsmacht in der Regel nicht vorliege. Da den Beschäftigten keinerlei nachteilsfreie Alternativen angeboten wurden, bestand eine die Freiwilligkeit ausschließende Drucksituation. Dies wurde auch im Text der Einwilligungserklärung deutlich, die als Arbeits-“Anweisung“ und Einverständniserklärung bezeichnet war. Zweifel an der Freiwilligkeit der Einwilligungserklärungen können sich zudem auch aus einem Gruppenzwang ergeben, wenn Einwilligungen auf Listen eingeholt werden, auf denen die Namen der Beschäftigten vorgedruckt sind. Wenn sich einzelne Beschäftigte nicht einverstanden erklären, würde dies für die anderen Beschäftigten sichtbar.

Gleichwohl ist die Erfassung der Arbeitszeit von Beschäftigten ein legitimes Recht des Arbeitgebers, dem er auch ohne Einwilligung der Betroffenen nachkommen kann (§ 32 Abs. 1 Satz 1 BDSG; aktuell § 26 Abs. 1 BDSG 2018).

Beim Einsatz technischer Geräte sei jedoch im Rahmen der Erforderlichkeitsprüfung eine Abwägung der beteiligten Interessen geboten. Die legitimen Arbeitgeberinteressen sind mit dem gebotenen Schutz der Persönlichkeitsrechte der Betroffenen abzuwägen.

Die Verwendung eines Zeiterfassungssystems, das Fingerabdrücke und damit besonders sensible Daten nutzt, sei jedoch nicht erforderlich und erst recht nicht verhältnismäßig im engeren Sinne. Das eindeutige, lebenslange Erkennungsmerkmal würde vorliegend digital dauerhaft personenbezogen beim Arbeitgeber gespeichert. Es unterliege damit seinem permanenten Zugriff, und ggf. weiterer Beschäftigter und WartungsVertragspartner, was Verlust- und Missbrauchsgefahren eröffne.

Des Weiteren machte der LfD geltend, dass bei der Abwägung im konkreten Fall der Zeiterfassung auch zu berücksichtigen sei, dass es zwar einerseits um kündigungsrechtlich und strafrechtlich relevantes Verhalten des Arbeitszeitbetruges ging, jedoch andererseits die absolute Höhe geringe finanzielle Beträge betraf (Arbeitszeitbetrug im großen Stil wäre auch ohne Erfassung aufgefallen). Fast alle Zeiterfassungssysteme kommen ohne Fingerabdrücke aus. Zudem ist zu berücksichtigen, dass die Sicherheit von Fingerabdrucksystemen relativ gering ist, da ein Fingerabdruck wohl leicht nachzumachen ist. Die in mobilen Geräten verbauten Fingerabdrucksensoren bieten daher eher Komfortgewinn gegenüber der Passwort- oder Mustereingabe, aber nur bedingt Verbesserung der Sicherheit.

Dem Versorgungszentrum wurde daher aufgegeben, zur Erforderlichkeit des Fingerabdrucksystems eine Konkretisierung zum behaupteten Arbeitszeitbetrug vorzunehmen (Schadensumfang, polizeiliche Anzeige, Art und Weise und Zeitraum des Arbeitszeitbetruges, eingesetzte oder zumindest geprüfte Alternativmaßnahmen). Nicht nachvollziehbar war auch, aus welchem Grund persönliche Kontrollen zu verschiedenen Uhrzeiten in zwei kleinen Einheiten mit insgesamt neun Mitarbeitern nicht möglich sein sollen (z.B. in Zeiträumen des Arbeitszeitbeginns und Arbeitszeitendes). Weiter wurde auf die strengen Vorgaben von § 32 Abs. 1 Satz 2 BDSG (aktuell § 26 Abs. 1 Satz 2 BDSG 2018) hingewiesen. Nachdem die Komplexität der Thematik und die Fülle der Anforderungen durch die aufgeworfenen Fragen ersichtlich wurden, hat das Versorgungzentrum mitgeteilt, auf die Nutzung des Fingerabdrucksystems zu verzichten.

II. Beschäftigtenbilder im Internet

Unter Ziff. 14.1.10 seines Berichts erörtert der LfD eine mit Hilfe von Webcams erfolgende Veröffentlichung von Bildnissen im Internet, wobei er seine bisherigen Empfehlungen auch vor dem Hintergrund der ab dem 25. Mai 2018 anzuwendenden DS-GVO und des BDSG 2018 aufrecht erhält. Dabei bezieht er sich einerseits auf die DS-GVO anderseits aber auch auf das nach wie vor geltende KUG. Dazu führt er aus:

„Sollen mithilfe einer Webcam Aufnahmen von erkennbaren natürlichen Personen gespeichert und im Internet veröffentlicht werden, soll dies nur zulässig sein, wenn gemäß Art. 6 Abs. 1 lit. f DS-GVO die Interessen oder Grundrechte und Grundfreiheiten der abgebildeten Person nicht überwiegen. Denn die Einholung einer Einwilligung des jeweiligen Betroffenen ist praktisch ausgeschlossen.

Im Ergebnis wird es kaum einen Zweck zum Betreiben einer Webcam geben, der es rechtfertigt, etliche Personen für jedermann im Internet abrufbar abzulichten. Jede verantwortliche Stelle einer Webcam ist demnach gut beraten, Kamerastandort und Bildauflösung so auszuwählen, dass auf den veröffentlichten Aufnahmen weder Personen noch sie identifizierende Gegenstände, wie z.B. amtliche Kennzeichen von Fahrzeugen, erkennbar sind. Damit werden Erhebung und Verarbeitung personenbezogener Daten durch die Webcam von Anfang an vermieden.

Für Webcam-Aufnahmen und auch für die Veröffentlichung von Bildnissen im Internet enthält zudem das Kunsturhebergesetz (KunstUrhG) ergänzende Regelungen, die auch fortbestehen, seitdem die DS-GVO anzuwenden ist. Das KunstUrhG stützt sich speziell bei der Verarbeitung zu Zwecken der Meinungsfreiheit auf Art. 85 Abs. 1 der DS-GVO, der den Mitgliedstaaten nationale Gestaltungsspielräume bei dem Ausgleich zwischen Datenschutz und der Meinungs- und Informationsfreiheit eröffnet. Es steht nicht im Widerspruch zur DS-GVO, sondern fügt sich als Teil der deutschen Anpassungsgesetzgebung in das System der DS-GVO ein (vgl. speziell zu journalistischen Zwecken gem. Art. 85 Abs. 2 den Beschluss des OLG Köln vom 18. Juni 2018, Az.: 15 W 27/18). Diesen bisher vom Bundesministerium des Innern, für Bau und Heimat vertretenen Standpunkt teilen die DSK und so auch der Landesbeauftragte. Wenn also auf Internet-Aufnahmen Personen z.B. nur als Beiwerk der Aufnahme erscheinen, sind solche Aufnahmen auch ohne Einwilligung der Betroffenen zulässig (§ 23 Abs. 1 Nr. 2 KunstUrhG). Bei weitergehenden Aufnahmen mit einzelnen Fotos etwa zu Werbezwecken wäre die Rechtsgrundlage des Art. 6 Abs. 1 Satz 1 lit. f DSGVO zu prüfen.“

III. Gesichtserkennungssoftware in Spielbanken

Bereits im XII. Tätigkeitsbericht (Nr. 15.2.5) schilderte der Landesbeauftragte seine Beratungstätigkeit im Hinblick auf eine im Jahr 2014 in Sachsen-Anhalt eröffnete Spielbank, insbesondere im Hinblick auf die dort installierte Videoüberwachungsanlage. Im Rahmen der Planung einer zweiten Spielbank konnten nunmehr (XIII./XIV. TB, Ziff. 14.1.4) eine datenschutzgerechte Lösung für den Einsatz einer Videoüberwachung mit Gesichtserkennung, bei der die Einlasskontrolle durch eine biometrische Gesichtserkennungssoftware in Form eines sog. Fake-Check-System gefunden werden.

Kunden, die die Spielbanken mindestens zum dritten Mal aufsuchten, sollte angeboten werden, in Zukunft eine erleichterte und schnellere Einlasskontrolle durch biometrische Gesichtserkennung in Anspruch zu nehmen. Dazu werden von ihren Gesichtsfotos Templates erstellt, die mit Templates von gesperrten Spielern, die aus der staatlichen Spieler-Sperrdatenbank stammen, automatisiert verglichen werden. Ergibt der Vergleich keine Übereinstimmung, kann der Kunde die Spielbank sofort betreten. Damit sollen Wartezeiten an den Eingängen vermieden und die Erkennungsrate von Spielersperren erhöht werden.

In die Sperrdatei eingetragen werden Personen, die dies beantragen (Selbstsperre) oder die spielsuchtgefährdet oder überschuldet sind oder zu sein scheinen, die ihren finanziellen Verpflichtungen nicht nachkommen oder Spieleinsätze riskieren, die in keinem Verhältnis zu ihrem Einkommen oder Vermögen stehen (Fremdsperre). In die Sperrdatei wird der Grund der Sperre eingetragen (§ 5 Abs. 1 SpielbG LSA, § 14 GlüG LSA, § 8 Abs. 1 und 2 GlüStV). Der automatisierte Abgleich mit der Sperrdatei mittels eines biometrischen Datums erhöht die Intensität der Datenverarbeitung.

Bei der Prüfung der Zulässigkeit des Face-Check-Systems war zu beachten, dass es sich bei einem Abgleich mit der Sperrdatei häufig um die Nutzung von Gesundheitsdaten handelt, denn die Sperrdatei dient dem Schutz der Spieler und zur Bekämpfung einer Krankheit – der Glücksspielsucht. Gesundheitsdaten gehören nach Art. 9 Abs. 1 DS-GVO zu den besonderen Kategorien personenbezogener Daten, deren Verarbeitung nur in den in Art. 9 Abs. 2 DS-GVO benannten Fällen zulässig ist. Darüber hinaus enthalten die Templates, die von Besuchern erstellt werden, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, die nunmehr ebenfalls zu den besonderen Kategorien personenbezogener Daten zählen.

Nach Art. 9 Abs. 1 DS-GVO gehören auch biometrische Daten zu den besonderen Kategorien personenbezogener Daten, wenn sie der eindeutigen Identifizierung einer natürlichen Person dienen. Deren Verarbeitung ist dann nur zulässig, wenn die in Art. 9 Abs. 2 DS-GVO benannten Voraussetzungen erfüllt sind. Nach der DS-GVO kann damit bei dem hier vorliegenden Zweck die Datenverarbeitung nur auf eine wirksame Einwilligung gestützt werden, deren Freiwilligkeit vorliegend aber nicht in Zweifel gezogen werden kann.

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.