Biometrische Zugangskontrollen werden in immer mehr Betrieben zum Schutz von kritischer Infrastruktur oder wichtigen betrieblichen Einrichtungen eingeführt. Doch die Einführung und Anwendung einer biometrischen Zugangskontrolle unterliegt strengen Anforderungen. Arbeitgebende müssen nicht nur hohe datenschutzrechtliche Hürden nehmen, sondern auch die Zustimmung des Betriebsrates einholen.
Biometrie ist – vereinfacht gesprochen – die Identifizierung eines Menschen anhand bestimmter körperlicher Merkmale. Zu diesen zählen insbesondere der Fingerabdruck, die Iris und die Gesichtsform.
Wollen Arbeitgebende für die Zugangskontrolle auf biometrische Verfahren zurückgreifen, steht dem Betriebsrat ein zwingendes Mitbestimmungsrecht zu. Denn zum einen zählen Regeln über das Betreten des Arbeitsplatzes zu den mitbestimmungspflichtigen Fragen der „Ordnung des Betriebes“ (§ 87 Abs. 1 Nr. 1 BetrVG). Zum anderen handelt es sich bei der biometrischen Zugangskontrolle stets um eine technische Überwachungseinrichtung, deren Einführung gemäß § 87 Abs. 1 Nr. 6 BetrVG nur im Einvernehmen mit dem Betriebsrat zulässig ist.
In der Praxis wird der Betriebsrat biometrische Verfahren nur dann zulassen, wenn diese auch tatsächlich erforderlich sind. Da die Erfassung biometrischer Daten ganz erheblich in die informationelle Selbstbestimmung der Arbeitnehmenden eingreift, wird man die Erforderlichkeit nur dann bejahen dürfen, wenn die Arbeitgeberseite in der Lage ist, ein besonderes Sicherheitsbedürfnis darzulegen (Beispiel: Würden Unbefugte Zutritt zu einer bestimmten Betriebsanlage erlangen, bestünde eine Gefahr für Leib und Leben). Aber selbst dann wäre kritisch zu hinterfragen, ob dieses Sicherheitsziel nicht durch andere, weniger einschneidende Maßnahmen erreicht werden könnte, etwa durch die Vergabe regelmäßig aktualisierter Passwörter oder fälschungssicherer Zugangsausweise.
Aber auch nach Abschluss einer entsprechenden Betriebsvereinbarung stehen dem Betriebsrat weitere Mitbestimmungsrechte zu. Nach § 75 Abs. 2 BetrVG haben Betriebsrat und Arbeitgeberseite die freie Entfaltung der Persönlichkeit der Arbeitnehmenden zu schützen und zu fördern. Daraus lässt sich ein dauerhafter Kontrollauftrag des Betriebsrates ableiten, soweit dieser nicht ohnehin in der Betriebsvereinbarung niedergelegt ist.
Neben diesen arbeitsrechtlichen Überlegungen müssen Unternehmen vor der Implementierung technischer Systeme stets auch datenschutzrechtliche Anforderungen berücksichtigen und in ihre Planungen einbeziehen.
In datenschutzrechtlicher Hinsicht handelt es sich bei biometrischen Daten um eine besondere Kategorie personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Der Einsatz biometrischer Verfahren hat daher einerseits unter Wahrung der in der DSGVO festgelegten Grundsätze der Rechtmäßigkeit, Notwendigkeit, Verhältnismäßigkeit und Datenminimierung zu erfolgen. Andererseits ist die Verarbeitung biometrischer Daten durch Zugangskontrollen gegenüber Arbeitnehmenden nur unter den zusätzlichen und strengen Voraussetzungen des § 26 Abs. 3 BDSG zulässig. Ferner kann die Betriebsvereinbarung eine zulässige Grundlage für die Datenverarbeitung sein.
Sofern also keine ausdrücklichen Einwilligungen der Betroffenen vorliegen, kann eine Zulässigkeit nur dann angenommen werden, wenn die Verarbeitung erforderlich ist und keine überwiegenden, schutzwürdigen Interessen der Betroffenen entgegenstehen. Dabei hat stets eine Einzelfallbetrachtung für das konkret in Rede stehende technische System zu erfolgen. Verantwortliche haben demgemäß eine umfassende Interessenabwägung vorzunehmen, bei der auch die Modalitäten des Verfahrens zu berücksichtigen sind. Neben den erhöhten Rechtfertigungsanforderungen müssen angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Personen implementiert werden. Zu solchen Maßnahmen zählen unter anderem Zugangsbeschränkungen, Zugriffskontrollen und die Verschlüsselung der Daten.
Die deutschen und europäischen Datenschutzbehörden haben als Hilfestellungen unterschiedliche Orientierungshilfen und Leitlinien in diesem Zusammenhang veröffentlicht. Zu beachten sind insbesondere das Positionspapier zur biometrischen Analyse der Deutschen Datenschutzkonferenz sowie die Guidelines des Europäischen Datenschutzausschusses zur Gesichtserkennung (Guidelines 05/2022 on the use of facial recognition technology in the area of law enforcement) und zur Verarbeitung personenbezogener Daten durch Videosysteme (Guidelines 03/2019 processing of personal data through video devices).
Schließlich ist zu beachten, dass der Einsatz von biometrischen Systemen im Beschäftigtenkontext regelmäßig die Durchführung einer Datenschutz-Folgenabschätzung erfordern wird (siehe die „Muss-Liste“ der Datenschutzkonferenz: Verwendung von biometrischen Systemen zur Zutrittskontrolle oder für Abrechnungszwecke).
Biometrische Zugangskontrollen greifen massiv in das Persönlichkeitsrecht der Arbeitnehmenden ein. Auch aus diesem Grund steht dem Betriebsrat ein umfangreiches Mitbestimmungsrecht zu. So soll sichergestellt werden, dass biometrische Verfahren – wo sie überhaupt zulässig sind – auf das notwendige Maß beschränkt und zudem laufend kontrolliert werden. Aus datenschutzrechtlicher Sicht ist Wert auf eine sorgfältige Prüfung der Rechtmäßigkeit und die Durchführung einer Datenschutz-Folgenabschätzung zu legen.