Zwei-Faktor-Authentifizierung (2FA) kann mit der Verarbeitung biometrischer Daten einhergehen. Sie ist zur Gewährleistung der Datensicherheit im Unternehmen sinnvoll, wirft jedoch die Frage auf, ob biometrische Informationen auch im Beschäftigungsverhältnis abgeglichen werden dürfen. Losgelöst von 2FA sorgen Fingerabdruckscanner, Face ID oder Videoüberwachung für Sicherheit und komfortablen Zugang, werfen jedoch rechtliche Fragen auf. Unter welchen Bedingungen solche Verfahren im Arbeitsverhältnis zulässig sind und welche zusätzlichen Pflichten sich künftig aus dem AI Act (Verordnung (EU) 2024/1689) ergeben, beleuchten wir in diesem Newsletter.
Rechtlicher Rahmen nach DSGVO und BDSG
Biometrische Daten – etwa Fingerabdrücke, Gesichtsgeometrie, Iris oder Stimme – gelten datenschutzrechtlich als besondere Kategorien personenbezogener Daten. Ihre Verarbeitung ist nach Art. 9 DSGVO grundsätzlich verboten und nur in eng umgrenzten Ausnahmekonstellationen gerechtfertigt. Im Beschäftigungskontext kommen vor allem ausdrückliche, freiwillige Einwilligungen als Erlaubnistatbestände in Betracht. § 26 BDSG setzt dabei hohe Hürden: Biometrische Verfahren müssen für den jeweiligen arbeitsrechtlichen Zweck unbedingt erforderlich sein. Wo mildere Mittel wie Chipkarten oder Transponder zur Verfügung stehen, sollten diese als Alternative angeboten werden.
Wichtig ist allerdings die Abgrenzung: Ein Foto oder Video wird erst dann zur besonderen biometrischen Datenkategorie, wenn es mittels spezieller technischer Verfahren zum automatisierten Abgleich verarbeitet wird. Eine reine Sichtprüfung ohne automatisierte Erkennung (z. B. Videoüberwachung) fällt nicht unter Art. 9 DSGVO, bleibt aber als „normale“ personenbezogene Datenverarbeitung voll reguliert.
Typische Einsatzszenarien und Fallstricke
Arbeitsgerichte haben beispielsweise für die Zeiterfassung per Fingerabdruck klargestellt, dass regelmäßig keine Erforderlichkeit für die Verarbeitung biometrischer Daten besteht. Selbst bei Vorliegen einer Einwilligung könnte die Maßnahme daher rechtswidrig sein.
Andere Maßnahmen wie Zutrittskontrollen oder 2FA-Lösungen (etwa Face ID oder Windows Hello) lassen sich datenschutzfreundlicher gestalten, wenn der biometrische Abgleich ausschließlich lokal auf dem Endgerät („On-Device“) erfolgt und keine zentralen biometrischen Datenbanken aufgebaut werden. Unverzichtbar bleibt aber eine tragfähige Interessenabwägung sowie dem Angebot, alternative Anmeldeverfahren (PIN, Passwort, FIDO2-Token) zu nutzen.
Auswirkungen des AI Act auf den Arbeitsplatz
Mit der neuen KI-Verordnung erhält der Einsatz von KI-gestützten biometrischen Systemen am Arbeitsplatz eine zusätzliche Regulierungsebene. Besonders relevant sind drei Bereiche: verbotene Praktiken, Hochrisiko-Systeme und Transparenzpflichten.
Reine 1:1-Verifikationssysteme zur Bestätigung einer Identität zum Zweck des Zugangs, zum Entsperren eines Geräts oder für Sicherheitsfreigaben fallen jedoch anders als Emotionserkennung, ungezielte biometrische Kategorisierung oder Performance-Bewertungssysteme nicht unter die strengen Vorgaben. DSGVO-Pflichten, insbesondere die Erforderlichkeitsprüfung, sind daneben einzuhalten.
Praktische Empfehlungen
Für die Praxis empfiehlt es sich, auf die Verarbeitung biometrischer Daten von Arbeitnehmern soweit wie möglich zu verzichten. Wo eine Erfassung erforderlich ist, sollten Alternativen (Chipkarte, Transponder, App) angeboten werden.
Parallel hierzu sollten experimentelle HR-KI-Systeme frühzeitig als potenzielle Hochrisiko-Systeme klassifiziert und einer rechtlichen Bewertung unterzogen werden. Dabei könnten Risikomanagement, technische Dokumentation, Logging oder Verfahren zur menschlichen Überwachung erforderlich sein.
In jedem Fall ist die interne Datenschutzorganisation zu stärken: Aktualisierte Verzeichnisse der Verarbeitungstätigkeiten, eine Datenschutz-Folgenabschätzung für systematische Zugangskontrollen, klar kommunizierte Betroffenenrechte und passende technische und organisatorische Maßnahmen (Zugriffskonzepte, Verschlüsselung, Löschkonzepte) sind umzusetzen.
Fazit
Biometrische Verfahren können Sicherheit und Komfort erhöhen, sind im Arbeitsverhältnis aber rechtlich hochsensibel. Verpflichtende Fingerabdruck- oder Face ID-Lösungen ohne Alternativen bergen erhebliche arbeits- und datenschutzrechtliche Risiken. Gleichzeitig verschärft der AI Act den regulatorischen Rahmen, insbesondere durch Verbote bestimmter biometrischer KI-Praktiken. Für die Ausgestaltung und Umsetzung dieser Schritte ist eine enge Zusammenarbeit von Geschäftsführung, Datenschutz, IT, HR und Mitbestimmungsgremien unerlässlich.
