Astrid Albrecht *Biometrie am Arbeitsplatz - Konkrete Ausgestaltung der Mitbestimmung — Orientierungshilfe des TeleTrusT e.V. für eine Betriebsvereinbarung beim Einsatz biometrischer SystemeJurPC Web-Dok. 55/2007, Abs. 1 - 51 |
| ||||||||||||||||||||||||||||||||||||
| Der Einsatz biometrischer Verfahren auch am Arbeitsplatz nimmt mit zunehmender Vielseitigkeit der marktgängigen Produkte zu. Verstärkt stellen sich daher in der Praxis Fragen nach der rechtlich zulässigen Ausgestaltung eines derartigen Einsatzes sowie dem geeigneten rechtlichen Rahmen unter Berücksichtigung der Interessen aller Beteiligten. Die von TeleTrusT e.V. erarbeitete Orientierungshilfe bietet eine konkrete Hilfestellung bei der Formulierung von entsprechenden Betriebs- /Dienstvereinbarungen. | JurPC Web-Dok. 55/2007, Abs. 1 |
Einleitung |
| Bei TeleTrusT befasst sich die AG 6 "Biometrische Identifikationsverfahren" seit über 9 Jahren außer mit technischen Themen auch mit rechtlichen Aspekten der Biometrie. Neben einem zum Standardwerk gewordenen Kriterienkatalog zur Bewertung und zum Vergleich biometrischer Systeme, stellt die hier vorgestellte Orientierungshilfe ein aus konkreten Praxisanforderungen entstandenes Hilfsmittel für Belegschaftsvertretungen, aber auch für Arbeitgeber dar, wenn es darum geht, den Einsatz biometrischer Systeme in Betrieben und Dienststellen (mit) zu gestalten.(2)Neben Vorschlägen zur Formulierung enthält sie zahlreiche weiterführende Hinweise und Erläuterungen sowohl zu den empfohlenen technischen Maßnahmen als auch zum rechtlichen Hintergrund. Die Orientierungshilfe ist entstanden in Kooperation von Technikern und Juristen aus den Bereichen Datenschutz, Wirtschaft und Verwaltung.(3) | Abs. 2 |
1 Planung und Pilotierung |
| Um das Bedürfnis des Arbeitgebers zur Einführung von Biometrie im Betrieb begründen zu können, ist ein Pilotbetrieb des für den Einsatz vorgesehenen Systems unter Einbeziehung der Belegschaftsvertretung und des betrieblichen/behördlichen Datenschutzbeauftragten zu empfehlen – und zwar schon im Vorfeld des Abschlusses einer Betriebs-/Dienstvereinbarung (BV/DV). Es kann durchaus sinnvoll sein, zum Pilotbetrieb eine gesonderte BV/DV abzuschließen. | Abs. 3 |
| Durch das Pilotprojekt soll der Arbeitgeber vor allem nachweisen, dass das vorgesehene biometrische System nachweislich für den angestrebten Zweck praxistauglich ist, und dass der Ersatz eines bisher eventuell schon verwendeten Zugangs-, Zutritts- oder Identifikationsverfahrens durch ein Biometrie-System wirklich erforderlich ist. Da der Einsatz eines Biometrie- Systems einen im Vergleich zu herkömmlichen Verfahren stärkeren Eingriff in die Persönlichkeitsrechte der Beschäftigten bedeutet, ist diese Abwägung zwingend. | Abs. 4 |
2 Mögliche Inhalte einer Betriebs-/ Dienstvereinbarung |
| Die im Folgenden vorgeschlagenen Regelungen sind auf die grundsätzliche Nutzung eines biometrischen Systems ausgerichtet. Wie bei anderen "Mustervereinbarungen" auch können diese Regelungen also nicht "eins zu eins" übernommen, sondern müssen den Besonderheiten sowohl des eingesetzten Systems als auch des betroffenen Betriebs/der Dienststelle angepasst werden (wenn nötig mit Unterstützung durch einen externen Sachverständigen). | Abs. 5 |
2.1 Präambel |
| In der Präambel sollten die grundsätzlichen Anforderungen und die Zielrichtung der BV/DV verdeutlicht werden. So kann z.B. formuliert werden, dass es sich um eine Einigung über den Einsatz biometrischer Systeme zur Wahrung der Interessen des Arbeitgebers auf der einen und der Persönlichkeitsrechte der Beschäftigten auf der anderen Seite handelt. Weiter kann festgestellt werden, dass sich die Vertragspartner darüber einig sind, dass es sich bei den zu erfassenden biometrischen Daten um personenbezogene Daten handelt, die als solche im Sinne des Datenschutzes behandelt werden müssen.(4) | Abs. 6 |
| Erforderlich ist hierfür eine Abwägung der verschiedenen Interessen. Das Sicherheitsbedürfnis des Arbeitgebers, das zur Einführung des biometrischen Systems führt, muss gegen die durch diesen Einsatz berührten Persönlichkeitsrechte der Beschäftigten abgewogen werden. Der Einsatz des biometrischen Systems muss also in diesem Rahmen "verhältnismäßig" sein. D.h. dass dieser zur Sicherung betrieblicher Interessen notwendig sein muss bei gleichzeitiger Wahrung der Persönlichkeitsrechte der Beschäftigten. | Abs. 7 |
2.2 Allgemeines |
| Zunächst werden in der BV/DV Gegenstand und Geltungsbereich der Vereinbarung dargestellt. Dabei können für die Entsendung von Beschäftigten in fremde Betriebe laut höchstrichterlicher Rechtsprechung besondere Regelungen gelten. Deshalb ist es sinnvoll, klarzustellen, dass die in der BV/DV festgelegten Regelungen auch für die Mitarbeiter gelten, die in einem Fremdunternehmen, in dem ebenfalls Biometrie-Systeme eingesetzt werden, tätig werden müssen. Dabei ist es grundsätzlich Aufgabe des Arbeitgebers, dem Fremd- oder Kundenunternehmen gegenüber diese Regelung umzusetzen. | Abs. 8 |
| Für den Fall, dass dies nicht möglich sein sollte, kann eine Regelung aufgenommen werden, die den Arbeitgeber verpflichtet, dafür Sorge zu tragen, dass eine Erfassung biometrischer Daten von Beschäftigten beim Einsatz in Fremdunternehmen nicht erfolgt. | Abs. 9 |
| Zwar hat der Arbeitgeber auf die Verhältnisse im Fremdunternehmen keinen unmittelbaren Einfluss. Er gibt aber den entsandten Beschäftigten die entsprechenden (mitbestimmungspflichtigen) Anweisungen. Daher ist zwischen ihm und der Belegschaftsvertretung zu vereinbaren, ob und in welcher Weise die Beschäftigten der Kontrolle durch biometrische Systeme in einem fremden Betrieb unterworfen werden. | Abs. 10 |
| Der Arbeitgeber muss dann bei der Vertragsgestaltung mit dem Kunden dafür sorgen, dass die mit der Belegschaftsvertretung getroffenen Regelungen praktisch auch umgesetzt werden. Individuelle Rechte der betroffenen Beschäftigten bleiben hiervon unberührt(5), was im Einzelfall weiter ausgeführt werden muss. | Abs. 11 |
3 Inhaltliche Regelungen |
3.1 Ziele und Gründe des Einsatzes biometrischer Verfahren |
| Hier wird das konkrete Bedürfnis des Arbeitgebers nach Einsatz eines Biometrie-Systems formuliert und dessen Einsatz begründet. Bei den folgenden Regelungsvorschlägen wird beispielhaft davon ausgegangen, dass es dem Arbeitgeber vor allem um eine Verbesserung der Sicherheit geht. Dazu kann z.B. ausgeführt werden, dass sich beim bisher im Betrieb eingesetzten Zutrittskontrollverfahren in der Vergangenheit einige, die Sicherheit des Betriebs gefährdende und damit wesentliche Sicherheitsmängel gezeigt haben. Hier sind konkrete Gründe zu nennen, wie etwa die, dass Beschäftigte ihre Karten getauscht haben, das System anderweitig umgangen wurde, es nicht verfügbar oder funktionsbereit war, Karten oder Passwörter/Geheimzahlen abhanden gekommen sind, Beschäftigte ihre Karten vergessen haben usw. | Abs. 12 |
| Ebenfalls wird hier die gewählte Betriebsart (Verifikation/Identifikation) dargestellt, zusammen u.a. mit den konkreten Gründen (zu erreichender Zweck), die zum Einsatz der gewählten Betriebsart geführt haben (nähere Regelungen folgen später). | Abs. 13 |
| Anschließend wird das Ziel festgehalten, das mit dem Einsatz des Biometrie- Systems verfolgt wird, etwa in der folgenden Form: | Abs. 14 |
| "Ziel ist es, die Zutrittskontrolle sicherer zu gestalten. Die Pilotphase hat gezeigt, dass das System XY dieser Anforderung genügt. Im Rahmen des Pilotbetriebs konnte eine Falsch-Rückweisungs-Rate von (z.B.) unter 1 % bei einer Falsch-Akzeptanz-Rate von ebenfalls unter 1 % erreicht werden. Damit kann sichergestellt werden, dass bei grundsätzlich gleichbleibender Sicherheit der Zutrittskontrolle nur eine geringe Anzahl von Berechtigten fehlerhaft vom System abgewiesen werden. Die Verfügbarkeit des Systems sowie die Benutzbarkeit durch die Beschäftigten hat sich im Pilotbetrieb als stabil erwiesen. Bei der vertraglichen Gestaltung mit dem Anbieter wurde ein werktäglicher Support (Beratung, Reparatur, Wartung) vor Ort vereinbart, um Systemausfälle und andere Störungen ohne Beeinträchtigung der das System benutzenden Beschäftigten im Arbeitsablauf zu gewährleisten sowie die hinreichende Schulung der internen Mitarbeiter, die das System im Haus betreuen und warten." | Abs. 15 |
3.2 Einführungsphase |
| In der Regel ist es sinnvoll, in der BV/DV eine Einführungsphase zu definieren. Diese soll unter umfassender Information der Beschäftigten erfolgen und aktiv sowohl von der Belegschaftsvertretung als auch vom Datenschutzbeauftragten begleitet werden. Der Arbeitgeber muss sicherstellen, dass diese Stellen alle für die Beurteilung des Biometrie- Systems notwendigen Informationen zur Verfügung haben. Den Beschäftigten sollen bereits bei der Erstregistrierung (Enrolment) alle Informationen über das biometrische System entweder in einer Broschüre und/oder im Intranet zur Verfügung gestellt werden.(6) | Abs. 16 |
| Um die möglichst reibungslose Verwendung des Biometrie-Systems durch die Beschäftigten sicherzustellen, sollen darüber hinaus alle Nutzer in einer einmalig durch den Arbeitgeber zu organisierenden Informationsveranstaltung über die Betriebsweise des Systems und dessen Benutzung informiert werden. | Abs. 17 |
| Außerdem ist sicherzustellen, dass die Beschäftigten im Umgang mit dem Biometrie-System und vor allem der erstmaligen Registrierung der biometrischen Merkmale (z.B. der Fingerabdrücke), dem Enrolment also, hinreichend geschult werden. Wird das Enrolment nicht durch den Anbieter des Biometrie-Systems durchgeführt, sollte der Arbeitgeber sicherstellen, dass die das Enrolment durchführenden Personen rechtzeitig vorab geschult werden. Sie sind zu diesem Zweck von ihrer sonstigen Arbeit freizustellen. Schließlich muss der Arbeitgeber einen ständig verfügbaren Ansprechpartner benennen, der bei Fragen, Problemen, Anregungen oder Hinweisen der Beschäftigten während der üblichen Arbeitszeit zur Verfügung steht. Hierbei ist sicherzustellen, dass derartige Anfragen nur in anonymisierter Form weiter gegeben und vertraulich behandelt werden. Dazu gehört auch die Schaffung einer Möglichkeit, Anfragen oder Stellungnahmen abzugeben, ohne sich persönlich an diesen Ansprechpartner wenden zu müssen. Dies kann entweder über das Intranet geschehen – soweit dies allen Beschäftigten ohne weiteres zugänglich ist – oder durch eine Art "Kummerkasten". | Abs. 18 |
3.3 Transparenz |
| Um die Akzeptanz des Biometrie-Systems durch die Beschäftigten zu erhöhen, ist eine umfassende Transparenz des Systems, seiner Funktionsweise und der Erhebung, Speicherung und Verarbeitung der biometrischen Daten zu gewährleisten. Dafür ist eine laufende Information der Beschäftigten über alle hier genannten Aspekte vor und während der Einführungsphase sowie während des laufenden Betriebs nötig. Die betroffenen Beschäftigten müssen sich jederzeit darüber informieren können, was ein biometrisches System ist, wie der Erkennungsvorgang selbst funktioniert und warum der Einsatz des Systems und seiner Funktionen notwendig erscheint. | Abs. 19 |
| Ein gutes Mittel, Transparenz herzustellen, ist es auch, sog. FAQ-Listen zusammenzustellen, mit deren Hilfe sich die Beschäftigten bei Problemen oder Fragen zusätzlich informieren können. Der Arbeitgeber muss sicherstellen, dass sowohl die grundlegenden Informationen als auch die FAQs stets auf aktuellem Stand gehalten werden. | Abs. 20 |
| Und schließlich sind die Mitglieder der Belegschaftsvertretung, der Datenschutzbeauftragte sowie eventuell weitere Verantwortliche laufend in die Entwicklung des Biometrie-Systems einzubinden und im notwendigen Umfang zu qualifizieren. | Abs. 21 |
3.4 Diskriminierungsfreier Einsatz |
| Um einen diskriminierungsfreien Einsatz des Biometrie-Systems zu gewährleisten, sollte ein Ersatzsystem zur Verfügung stehen, das für solche Beschäftigte vorgehalten wird, die über das vorgesehene biometrische Merkmal nicht oder nicht in der notwendigen Ausprägung verfügen. Das kann z.B. durch Erhalt der bisher eingesetzten Systeme geschehen oder auch durch parallelen Einsatz eines Systems, das mit alternativen biometrischen Merkmalen arbeitet. Der Arbeitgeber muss sicherstellen, dass den Betroffenen aus der Nicht-Nutzung des Biometrie-Systems keine Nachteile – welcher Natur auch immer – entstehen. Sollte etwa ein Beschäftigter ein Fingerabdrucksystem mangels hinreichender Ausprägung seiner Minutien nicht benutzen können, kann er nicht wie seine Kollegen die biometriebasierte Zutrittskontrolle passieren. Ihm muss aber erspart werden, dass er jeden Tag das System erneut und dann erfolglos zu benutzen versuchen muss, sich dann ggfs. hinter ihm Warteschlangen bilden sowie sich herumspricht, dass dieser Kollege nicht „biometrietauglich“ ist. | Abs. 22 |
3.5 Sicherheitsaspekte |
| In der Pilotphase ging es vor allem um die Erkennungsleistung und Sicherheit des biometrischen Systems. Die dabei ermittelten Fehlerraten sollten auch in der BV/DV aufgeführt werden, um damit deutlich zu machen, welche Fehlerraten sowohl aus Sicht der Sicherheit als auch hinsichtlich des Nutzerkomforts als akzeptabel angesehen werden. | Abs. 23 |
| Die vor den Verhandlungen zu der BV/DV durchgeführte Pilotphase sollte unter anderem auch den Nachweis erbracht haben, dass bei einem Einsatz des geplanten biometrischen Systems das Sicherheitsbedürfnis des Arbeitgebers tatsächlich in erhöhtem Maße erfüllt wird. | Abs. 24 |
| Das bedeutet allerdings in der Regel, dass das Persönlichkeitsrecht der Beschäftigten einem erhöhten Risiko ausgesetzt ist. Diese Gefährdung steht nur dann einem Einsatz des Biometrie-Systems nicht entgegen, wenn der Arbeitgeber in der Pilotphase nachweisen konnte, dass das erprobte System sicher gegen Missbrauch ist. | Abs. 25 |
| Hohe Sicherheit geht meist einher mit eingeschränktem Komfort für den Benutzer, da die für die Sicherheit verantwortliche Falsch-Akzeptanz-Rate (also die Rate, die darüber Auskunft gibt, wie viele an sich Unberechtigte vom System fälschlich als Berechtigte zugelassen werden) eng mit der Falsch- Rückweisungs-Rate (also der Rate, die darüber Auskunft gibt, wie viele Berechtigte vom System fälschlicherweise als Unberechtigte abgewiesen werden) zusammenhängt. Dabei muss klar sein, dass eine hundertprozentige Sicherheit in keinem Fall erreicht werden kann. | Abs. 26 |
| An dieser Stelle kann es nötig sein, in der BV/DV auch Regelungen zu weiteren Eigenschaften des Biometrie-Systems zu treffen – Beispiel: | Abs. 27 |
| "Das einzusetzende Biometrie-System verfügt auch über eine "Lebenderkennung" (die es z.B. verhindern soll, mit Fingerabdruckattrappen Zugang zu erlangen). Die Funktionstüchtigkeit solcher Zusatzeigenschaften muss während der Pilotphase bestätigt worden sein. Auch ist zu prüfen, ob eine solche Lebenderkennung tatsächlich erforderlich und angemessen ist." | Abs. 28 |
| Um dies und weitere wesentliche Sicherheitsfragen entscheiden zu können, soll bereits im Rahmen der Pilotphase eine Risikoanalyse durchgeführt worden sein, durch die mögliche/realistische Angriffe auf das Biometrie- System untersucht und mögliche Gegenmaßnahmen geprüft wurden. Neben der Heranziehung des TeleTrusT-Kriterienkatalogs ist dafür auch die Expertise eines unabhängigen Prüfinstituts zu empfehlen. Eine solche Analyse muss vom Arbeitgeber in Auftrag gegeben und der Belegschaftsvertretung, dem Datenschutzbeauftragten und anderen Verantwortlichen zur Verfügung gestellt werden. | Abs. 29 |
3.6 Datenschutz |
| Das jeweils anzuwendende Bundes- oder Landesdatenschutzgesetz ist bei Einführung und Betrieb eines Biometrie-Systems selbstverständlich einzuhalten. Der Arbeitgeber hat dies sicherzustellen und ist dafür verantwortlich, dass die einschlägigen Bestimmungen von allen Führungskräften und Beschäftigten beachtet werden (eingeschlossen Fremdfirmen, die eventuell mit der Verarbeitung biometrischer Daten beauftragt sind). | Abs. 30 |
| Zu den zu beachtenden Datenschutzgrundsätzen zählen u.a. folgende: | Abs. 31 |
| Zweckbindung Die biometrischen Daten der Beschäftigten werden nur für Zwecke der Zutrittskontrolle (oder bezogen auf eine andere konkret beabsichtigte Nutzung) erhoben, verarbeitet und genutzt. Beim Einsatz eines Biometrie-Systems ist der Datenschutz von größter Bedeutung. Deshalb muss sichergestellt werden, dass die biometrischen Daten nur für den konkret vereinbarten Zweck erhoben, verarbeitet und genutzt werden. Hier kommt es darauf an, dass der Einsatzzweck vor der Einführung des Biometrie-Systems festgelegt und in der BV/DV genau definiert wird. Dabei ist auch – z.B. in einer Anlage zur BV/DV – die Speicherdauer der Daten genau festzuschreiben und konsequent einzuhalten. Eine Weitergabe in nicht anonymisierter Form an Dritte (z.B. Fremdunternehmen) oder auch an andere Unternehmensbereiche ist unzulässig. Ein Einsichtsrecht besteht nur für die zuständigen Beschäftigten in der Personalabteilung und die Systemadministratoren, die vorab auf Verschwiegenheit zu verpflichten sind. Eine Leistungs- oder Verhaltenskontrolle unter Verwendung der biometrischen Daten darf nicht stattfinden. Ist ein Zugriff auf biometrische Daten über den festgelegten Zweck hinaus gesetzlich erlaubt/vorgeschrieben (z.B. für Zwecke der Strafverfolgung), ist der Arbeitgeber für die rechtmäßig erfolgende Herausgabe der betroffenen Daten verantwortlich. Er hat die Belegschaftsvertretung und den Datenschutzbeauftragten unverzüglich von der Anfrage auf Herausgabe zu unterrichten und mit diesen gemeinsam über den Umfang der Herausgabe zu beraten. | Abs. 32 |
| Regelungen zur Datenerhebung und –speicherung Das biometrische System wird im Verifikationsmodus betrieben (d.h. dass sich der Beschäftigte dem System gegenüber z.B. mit einem digitalen Ausweis als eine bestimmte Person ausweist und das biometrische Merkmal nur benutzt wird, um diese Identität durch einen Vergleich mit dem zu der einzelnen Person gespeicherten biometrischen Merkmal zu "verifizieren"). Aus datenschutzrechtlicher Sicht ist eine zentrale Datenerhebung und -speicherung grundsätzlich zu vermeiden und eine dezentrale Speicherung vorzuziehen. Sollte eine zentrale Datenhaltung tatsächlich erforderlich sein, ist der Betrieb im Verifikationsmodus dem Betrieb im Identifikationsmodus (bei der ein erfasstes biometrisches Merkmal mit den gespeicherten Merkmalen aller Zutrittsberechtigten abgeglichen wird) vorzuziehen. | Abs. 33 |
| In der BV/DV muss – auch dem Grundsatz der Datensparsamkeit folgend – präzise festgelegt sein, ob Verifikation oder Identifikation erfolgt, ob mit Rohdaten oder Templates gearbeitet wird, ob die Protokollierung auf einer Karte, am Lesegerät dezentral oder auf einem zentraler Server erfolgt. Die Zwecke für jedes eingesetzte Verfahren sollten präzise benannt werden (z.B. Datensicherheit bei IKT-Räumen, Verhinderung von Diebstählen, sichere IKT-Nutzung.(7) | Abs. 34 |
| Eine zentrale Datenbank mit den biometrischen Daten aller Beschäftigten wird nicht eingerichtet.(8) Die beim Enrolment erfassten Merkmale (Referenzmuster) sind vielmehr auf einem mobilen Speichermedium (Token) wie z.B. einer Chipkarte gespeichert, das sich im Besitz des jeweiligen Beschäftigten befindet. Hier sollte für jedes Einsatzszenario (s. Zweckbindung) gesondert eine Risikoanalyse stattfinden. Dabei sind mögliche Alternativen zu untersuchen. Sollte für eine konkrete Systemanwendung eine zentrale Datenhaltung und der Betrieb des Systems im Identifikationsmodus unumgänglich sein, muss dies entsprechend begründet sein und die dazu zu treffenden besonderen Sicherheitsmaßnahmen aufgeführt werden. Der Identifikationsmodus kann etwa dann erforderlich sein, wenn die Beschäftigten wegen der Besonderheit der betrieblichen Umgebung keine Token bei sich führen können oder sollen. Hier sollten in jedem Fall alle in Betracht kommenden Alternativen wie auch die Nutzung kontaktloser Token (z.B. RFID-Chips) berücksichtigt werden. | Abs. 35 |
| Datenvermeidung und –sparsamkeit, Vorabkontrolle Es werden lediglich die Daten erhoben und gespeichert, die für die eigentliche Erkennung tatsächlich notwendig sind. Beim Abgleich zwischen gespeichertem Referenzmuster und aktuell erfassten biometrischen Merkmal sollten Daten nur vorübergehend und nur in dem für den Abgleich unbedingt erforderlichen Umfang gespeichert werden. Soweit möglich sollten Verfahren der Anonymisierung und Pseudonymisierung verwendet werden. Bereits bei der Wahl des Biometrie-Systems ist darauf zu achten, dass möglichst keine "Überschussinformationen" (z.B. über den Gesundheitszustand) anfallen können. Das System ist zudem technisch so zu gestalten, dass es z.B. eine Bewegungsverfolgung nicht ermöglicht (falls sie nicht ausnahmsweise zwingend erforderlich sein sollte). Die erfassten Daten werden in jeder Hinsicht auf das unbedingt erforderliche Minimum reduziert und verschlüsselt. Das eingesetzte Verschlüsselungsverfahren und die anderen Sicherungsverfahren sind zu benennen. Ihre Eignung zum Schutz der biometrischen Daten ist nachzuweisen. Falls trotzdem ein Informationsüberschuss entsteht, wird dessen weitergehende Verwendung ausgeschlossen. | Abs. 36 |
| Sowohl Datenvermeidung und -sparsamkeit als auch die Auswahl des konkret eingesetzten biometrischen Verfahrens sowie die Gestaltung des Systems sind Gegenstand einer Vorabkontrolle (siehe § 4d Abs. 5 BDSG). Eine solche Vorabkontrolle beinhaltet die Prüfung eines personaldatenverarbeitenden Systems vor dessen Inbetriebnahme. Die gesetzlichen Regelungen dazu sind allerdings unterschiedlich: Während die Vorabkontrolle nach Bundesdatenschutzrecht nur bei besonderen Risiken für die Rechte und Freiheiten der Betroffenen durch automatisierte Verarbeitungen angezeigt ist, enthält z.B. das hessische Landesdatenschutzrecht eine solche Einschränkung nicht. Daher ist eine entsprechende Regelung in der BV/DV zu empfehlen. | Abs. 37 |
| Datenschutzaudit Der Arbeitgeber verpflichtet sich, ein Datenschutzaudit nach § 9a BDSG durchzuführen. Ein solches Datenschutzaudit ist freiwillig und umfasst üblicherweise die Prüfung und Bewertung des Datenschutzkonzepts sowie der technischen Einrichtungen des Unternehmens durch unabhängige und zugelassene Gutachter. Durch –optionale- Veröffentlichung des Ergebnisses der Prüfung kann sich das Unternehmen im Wettbewerb positiv hervorheben. | Abs. 38 |
| Löschungsfristen Nach Ausscheiden eines Beschäftigten aus der Firma oder nach Abschaffung der Biometrie-Systeme sind die biometrischen Daten vollständig und unwiederbringlich zu löschen, und/oder das Speichermedium ist zu vernichten. | Abs. 39 |
| Technische und organisatorische Maßnahmen, Datenschutz- und Datensicherheitskonzept, u.a.: | Abs. 40 |
| - | Zutrittskontrolle - Unbefugten ist der Zutritt zu Datenverarbeitungsanlagen, mit denen die biometrischen Daten verarbeitet oder genutzt werden, durch den Arbeitgeber zu verwehren. | Abs. 41 |
| - | Zugangskontrolle - Der Arbeitgeber stellt sicher, dass diese Datenverarbeitungssysteme nicht von Unbefugten genutzt werden können. | Abs. 42 |
| - | Zugriffskontrolle - Die zur Benutzung eines Datenverarbeitungssystems Berechtigten dürfen ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Es wird zudem vom Arbeitgeber sichergestellt, dass biometrische Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. | Abs. 43 |
| - | Weitergabekontrolle - Der Arbeitgeber gewährleistet weiterhin, dass biometrische Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Zudem ist durch geeignete Maßnahmen wie z.B. eine revisionssichere und damit nachprüfbare Protokollierung zu gewährleisten, dass überprüft und festgestellt werden kann, an welche Stellen diese Daten übermittelt werden. | Abs. 44 |
| - | Auftragskontrolle - Biometrische Daten, die im Auftrag (also außerhalb von Betriebs- /Dienststelle) verarbeitet werden, dürfen nur entsprechend den Weisungen des Auftragsgebers verarbeitet werden. Hier ist zu beachten, dass auch die Wartung des Systems Auftrags-Datenverarbeitung im Sinne von § 11 Abs. 5 BDSG darstellt. | Abs. 45 |
| - | Verfügbarkeitskontrolle - Die biometrischen Daten müssen gegen zufällige Zerstörung oder Verlust geschützt werden. | Abs. 46 |
3.7 Evaluierung |
| Es ist eine regelmäßige, mindestens jährliche Überprüfung der Eignung des eingesetzten biometrischen Systems durchzuführen. Eine regelmäßige Evaluierung wird empfohlen, um zu überprüfen, ob das System noch den Sicherheitsbedürfnissen des Arbeitgebers bei gleichzeitiger Wahrung der Persönlichkeitsrechte der Beschäftigten entspricht. Es handelt sich hierbei nicht um eine ausdrückliche gesetzliche Verpflichtung. Eine solche Überprüfung erfolgt auch bei wesentlichen Änderungen sowie im Fall besonderer Vorkommnisse (wie z.B. bekannt gewordener Missbrauchsfälle). Die Überprüfung sollte sinnvollerweise durch einen Vertreter des Arbeitgebers und durch die Belegschaftsvertretung mit Unterstützung durch den Datenschutzbeauftragten stattfinden. Das Ergebnis ist zu dokumentieren. Die Beschäftigten werden über die Evaluierung in Kenntnis gesetzt. | Abs. 47 |
3.8 Wiederherstellung des ursprünglichen Zustands |
| Erweist sich das Biometrie-System als ungeeignet zur Erreichung der vorab
definierten Zwecke (was sich im Zuge des Pilotbetriebs herausstellen kann,
aber auch nach Einführung des Systems, wenn sich die Umstände des
Systemeinsatzes ändern oder neue, geeignetere Technologien zur Verfügung
stehen), dann erfolgt – wenn technische Verbesserungen des Systems
scheitern oder nicht infrage kommen – die vollständige Wiederherstellung
des ursprünglichen Zustands. Hier soll möglichst genau festgelegt werden,
wann dieser Fall eintritt. Beispiele: Eine Nicht-Eignung kann dann
vorliegen, wenn bei einer Falsch-Akzeptanz-Rate von 1 % über einen Zeitraum
von drei Monaten die Falsch-Rückweisungs-Rate auf über 10 % angestiegen
ist, oder wenn die Nutzungsdauer für jeden Erkennungsvorgang über einen
Zeitraum über drei Monaten auf über (Beispiel: 2) Minuten steigt, oder
auch wenn es missbräuchliche Umgehungen des Systems gegeben hat.
| JurPC Web-Dok. 55/2007, Abs. 48 |
Fazit |
| Nach den Regelungen des Betriebsverfassungsrechts unterliegt die betriebliche Einführung eines biometrischen Systems der Mitbestimmung des Betriebsrats, vgl. § 87 I Nr. 6 BetrVG. Die Umsetzung dieses Mitbestimmungsrechts ist Sinn und Zweck einer Betriebsvereinbarung, für die die hier vorgestellten Grundsätze eine Orientierungshilfe bieten soll. | Abs. 49 |
| Auch für solche Organisationen, in denen kein Betriebsrat und/oder betrieblicher Datenschutzbeauftragter etabliert ist, sollten die hier dargestellten Grundsätze berücksichtigt werden, um einerseits die berechtigten Interessen des Arbeitgebers und andererseits die schutzwürdigen Belange der Beschäftigten angemessen gegeneinander abzuwägen. | Abs. 50 |
| Neben den rechtlichen Fragestellungen ist, wie gezeigt, vor allem auch die praktische Umsetzung in der konkreten Anwendung für einen erfolgreichen und rechtsverträglichen Einsatz biometrischer Systeme im Betrieb von Bedeutung. | Abs. 51 |
Literatur |
| Albrecht, Astrid, Biometrische Verfahren im Spannungsfeld von Authentizität
im elektronischen Rechtsverkehr und Persönlichkeitsschutz, Hrsg.: Prof. Dr.
Dr. h.c. Spiros Simitis, Nomos 2003, insbesondere S. 195 ff. zu
Persönlichkeitsschutz der Arbeitnehmer beim betrieblichen Einsatz
biometrischer Systeme
Albrecht, Astrid, Biometrie zum Nutzen für Verbraucher? (in: Datenschutz und Datensicherheit 2000, S.332 ff.) Albrecht, Astrid, Mitbestimmungsrecht des Betriebsrates (in: Datenschutz und Datensicherheit 2000, S. 361) Albrecht, Astrid und Probst, Thomas, Biometrie für alle? (in: Datenschutz und Datensicherheit 2000, S.318) Arbeitsgericht Frankfurt a. M., Beschluss vom 18. Februar 2002 – 15 BVGa 32/02 Art. 29 Arbeitsgruppe, Stellungnahme 8/2001 zur Verarbeitung personenbezogener Daten von Beschäftigten, Arbeitspapier 5062/01/DE (WP 48) vom 13.09.2001 Bäumler, H., Biometrie datenschutzgerecht gestalten - Die Bedeutung von Technikgestaltung für den Datenschutz, (in: Datenschutz und Datensicherheit 1999, S. 128) Böker, Karl-Hermann und Kübeck, Horst, Biometrische Systeme zur Zeiterfassung und Zutrittskontrolle (in: Computer-Fachwissen 6/2004, S.8 ff.) Bundesarbeitsgerichtsbeschluss vom 27. Januar 2004 – 1 ABR 7/03 – http://bin/rechtsprechung/ document.py? Gericht=bag&Art= pm&Datum=2004& Sort= 3&anz=4&pos=1&nr=9420 Büllingen, Franz und Hillebrand, Annette, Biometrie als Teil der Sicherungsinfrastruktur? (in: Datenschutz und Datensicherheit 2000, S.339 ff.) Gola/Schomerus, BDSG, 7. Auflage 2002 Gundermann, L./Probst, Th., Brennpunkte des Datenschutzes, Kapitel 9 (in: Roßnagel, A.: Handbuch des Datenschutzrechts, C.H. Beck München 2003) Hornung, Gerrit, Der Personenbezug biometrischer Daten (in: Datenschutz und Datensicherheit 2004, S.429 ff.) Hornung, Gerrit / Steidle, Roland, Biometrie am Arbeitsplatz - sichere Kontrollverfahren versus ausuferndes Kontrollpotential" ist, Arbeit und Recht (AuR) 2005, 201 ff. Saeltzer, Gerhard, Sind diese Daten personenbezogen oder nicht? (in: Datenschutz und Datensicherheit 2004, S.218 ff.) Simitis, Spiros, BDSG, Kommentar, 5. Auflage 2003 Weichert, Th., Biometrie - Freund oder Feind des Datenschutzes, (in: Computer und Recht (CR) 1997, S. 369 ff.) |
Fußnoten:(1) Dr. Astrid Albrecht beschäftigt sich seit vielen Jahren mit technisch-rechtlichen Schnittstellenfragen moderner IuK-Technologien. Bis Ende 2006 hatte sie langjährig den Vorsitz der AG 6 Biometrische Identifikationsverfahren bei TeleTrusT inne. Sie ist Vorstandsmitglied des Informationstechnik im Bereich Kommunikationssicherheit für unterschiedliche Aspekte des E-Government und des elektronischen Rechtsverkehrs befasst.(2) Die einschlägigen Vorschriften im Personalvertretungsrecht sind überwiegend analog anwendbar, da sich die hier erarbeiteten Vorschläge insbesondere mit den grundsätzlichen Aspekten der Wahrung der Rechte der Beteiligten befasst. (3) Die hier referenzierten TeleTrusT-Veröffentlichungen sind allesamt kostenlos downloadbar unter www.teletrust.de (4) Da diese Definition im Einzelfall durchaus streitig sein kann, wird vorgeschlagen, dieses gemeinsame und für die datenschutzrechtliche Bewertung bedeutsame Verständnis in der Betriebsvereinbarung festzulegen. (5) siehe BAG-Beschluss vom 27.1.2004 - 1 ABR 7/03 AP Nr. 40 zu § 87 BetrVG Überwachung (6) Diese Informationen kann sich an den notwendigen Inhalten der "informierten Einwilligung" nach Bundesdatenschutzgesetz orientieren (§ 4a BDSG). (7) siehe dazu auch das BSI-Grundschutzhandbuch, www.bsi.bund.de (8) Vgl. Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 1. Juni 2005: "Einführung biometrischer Ausweisdokumente", http://www.bfdi.bund.de/ cln_030/nn_531946/DE/ Oeffentlichkeitsarbeit/Entschliessungssammlung/DSBund-Laender/ 69und70DSK-Entschliessung ZurEinfuehrungBiometrischerAusweisdokumente.html |
| * Dr. Astrid Albrecht beschäftigt sich seit vielen Jahren mit technisch-rechtlichen Schnittstellenfragen moderner IuK-Technologien. Bis Ende 2006 hatte sie langjährig den Vorsitz der AG 6 Biometrische Identifikationsverfahren bei TeleTrusT inne. Sie ist Vorstandsmitglied des EDV-Gerichtstages e.V. und im Bundesamt für Sicherheit in der Informationstechnik (BSI) im Bereich Kommunikationssicherheit mit unterschiedlichen Aspekten des E-Government und des elektronischen Rechtsverkehrs befasst. |
| [ online seit: 11.04.2007 ] |
| Zitiervorschlag: Autor, Titel, JurPC Web-Dok., Abs.
|
| Zitiervorschlag: Albrecht, Astrid, Biometrie am Arbeitsplatz - Konkrete Ausgestaltung der Mitbestimmung — Orientierungshilfe des TeleTrusT e.V. für eine Betriebsvereinbarung beim Einsatz biometrischer Systeme - JurPC-Web-Dok. 0055/2007 |
