Biometrische Merkmale

Definition und Grundlagen biometrischer Merkmale

Begriffserklärung

Biometrische Merkmale sind individuelle, messbare physische oder verhaltensbezogene Eigenschaften einer natürlichen Person, die für deren eindeutige Identifizierung oder Authentifizierung verwendet werden können. Dazu zählen unter anderem Fingerabdrücke, Gesichtserkennung, Iris- oder Netzhautmuster, Stimmprofile sowie bestimmte Bewegungs- oder Verhaltensmuster (z. B. Tippverhalten auf einer Tastatur).

Systematik

Biometrische Daten lassen sich allgemein in zwei Kategorien unterteilen:

• Physische biometrische Merkmale (beispielsweise Fingerabdrücke, Gesicht, Iris, DNA)
• Verhaltensbasierte biometrische Merkmale (wie Unterschrift, Sprechweise, Tipp- oder Gehstil)

Rechtliche Grundlagen biometrischer Merkmale

Europäisches Datenschutzrecht

Datenschutz-Grundverordnung (DSGVO)

Im europäischen Recht sind biometrische Merkmale als besonders schützenswerte personenbezogene Daten eingestuft. Artikel 4 Nr. 14 DSGVO definiert biometrische Daten als „mittels spezifischer technischer Verfahren gewonnene personenbezogene Daten über die physischen, physiologischen oder verhaltensbezogenen Merkmale einer natürlichen Person, die eine eindeutige Identifizierung dieser Person ermöglichen oder bestätigen“.

Artikel 9 Abs. 1 DSGVO untersagt grundsätzlich die Verarbeitung besonderer Kategorien personenbezogener Daten, wozu auch biometrische Merkmale zählen – es sei denn, eine der in Artikel 9 Abs. 2 DSGVO genannten Ausnahmen greift (z. B. ausdrückliche Einwilligung der betroffenen Person, Erfüllung rechtlicher Verpflichtungen, Schutz lebenswichtiger Interessen, öffentliches Interesse im Bereich der öffentlichen Gesundheit).

Zweckbindung und Datensicherheit

Die Verarbeitung von biometrischen Merkmalen ist stets an strenge Anforderungen der Zweckbindung und Datensicherheit geknüpft (vgl. Art. 5, Art. 32 DSGVO). Verantwortliche müssen geeignete technische und organisatorische Maßnahmen treffen, um ein angemessenes Schutzniveau zu gewährleisten und eine missbräuchliche Verwendung oder unbefugte Zugriffe zu verhindern.

Nationale Rechtsvorschriften

In Deutschland finden sich nähere Regelungen zur Verarbeitung biometrischer Merkmale im Bundesdatenschutzgesetz (BDSG) und in spezialgesetzlichen Vorschriften wie dem Passgesetz, dem Personalausweisgesetz oder dem Aufenthaltsgesetz.

Beispiel: Elektronischer Personalausweis und Reisepass
Nach § 4 Personalausweisgesetz und § 4 Passgesetz werden zur Identifizierung der Inhaberin oder des Inhabers biometrische Merkmale (z. B. Lichtbild, Fingerabdruck) gespeichert. Die damit verbundene Datenverarbeitung erfolgt ausschließlich zu gesetzlich bestimmten Zwecken und unterliegt hohen Datenschutzauflagen.

Zulässigkeit der Verarbeitung biometrischer Merkmale

Einwilligung als wichtigste Rechtsgrundlage

Die Verarbeitung biometrischer Merkmale erfolgt häufig auf Basis einer ausdrücklichen Einwilligung der betroffenen Person (Art. 9 Abs. 2 lit. a DSGVO). Die Einwilligung muss freiwillig, informiert und eindeutig abgegeben werden. Zudem muss jederzeit ein Widerruf möglich sein, ohne dass damit Nachteile für die betroffene Person verbunden sind.

Weitere mögliche Rechtsgrundlagen

In bestimmten Fällen kann eine Verarbeitung biometrischer Merkmale auch ohne Einwilligung zulässig sein, etwa

• bei arbeitsrechtlichen Erfordernissen (z. B. Zugangskontrollen, sofern keine weniger eingriffsintensiven Alternativen existieren),
• wenn rechtliche Verpflichtungen dies verlangen,
• zur Erfüllung öffentlicher Aufgaben oder aufgrund öffentlicher Interessen.

Jede Verarbeitung bedarf einer sorgfältigen Interessenabwägung und muss verhältnismäßig und auf das erforderliche Maß begrenzt sein.

Informationspflichten und Betroffenenrechte

Informationspflichten nach Art. 13, 14 DSGVO

Betroffene Personen sind umfassend über die Erhebung, Art, Zweck und Dauer der Speicherung, Weitergabe sowie Rechte im Zusammenhang mit ihren biometrischen Daten zu informieren. Dies gilt auch im Beschäftigungskontext und bei digitalen Anwendungen privater Unternehmen.

Rechte von betroffenen Personen

Betroffene haben insbesondere das Recht auf:

• Auskunft über die zu ihrer Person gespeicherten biometrischen Daten,
• Berichtigung unrichtiger Daten,
• Löschung („Recht auf Vergessenwerden“),
• Einschränkung der Verarbeitung,
• Widerspruch sowie
• Datenübertragbarkeit.

Speicherfristen, Löschung und Schutzmaßnahmen

Speicherfristen und Löschung

Biometrische Merkmale dürfen nur so lange gespeichert werden, wie dies für den jeweiligen gesetzlich legitimierten Zweck erforderlich ist. Nach Wegfall des Verarbeitungszwecks sind die Daten unverzüglich zu löschen (Art. 17 DSGVO).

Sicherheitsanforderungen

Wegen der Sensibilität biometrischer Merkmale sind hohe technische und organisatorische Sicherheitsstandards vorgeschrieben. Dazu zählen insbesondere:

• Verschlüsselung,
• Zugriffsbeschränkungen,
• regelmäßige Überprüfung der Sicherheit,
• Protokollierung von Zugriffen und Verarbeitungsvorgängen.

Biometrische Merkmale in Strafverfolgung und Sicherheitsbehörden

Einsatzgrundlagen

Sicherheitsbehörden und Strafverfolgungsorgane dürfen biometrische Daten im Rahmen gesetzlicher Befugnisse nutzen, insbesondere zur Identitätsfeststellung, Fahndung und Beweissicherung. Rechtsgrundlagen finden sich u. a. in der Strafprozessordnung (StPO), im Polizeigesetz der Länder und im BKA-Gesetz.

Kontrolle und Grenzen

Auch bei der Verwendung durch staatliche Stellen gelten strenge Vorgaben, insbesondere zum Grundsatz der Verhältnismäßigkeit, zum Richtervorbehalt (z. B. bei DNA-Analysen) sowie zur Zweckbindung und Datenminimierung. Die Aufsichtsbehörden kontrollieren die Rechtmäßigkeit solcher Maßnahmen.

Internationaler Datentransfer und biometrische Merkmale

Übermittlung in Drittstaaten

Die Übermittlung biometrischer Merkmale in Staaten außerhalb des Europäischen Wirtschaftsraums (EWR) ist nur zulässig, sofern das Schutzniveau für personenbezogene Daten dort dem europäischen Standard entspricht oder geeignete Garantien bestehen (siehe Art. 44 ff. DSGVO). In vielen Drittländern bestehen abweichende oder geringere Schutzniveaus, sodass vor einer Übertragung eine sorgfältige Prüfung erfolgen muss.

Sanktionen und Rechtsfolgen bei Verstößen

Sanktionen

Rechtswidrige Verarbeitung biometrischer Merkmale kann empfindliche Sanktionen nach sich ziehen. Die DSGVO sieht für Verstöße Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist.

Schadensersatz

Betroffene Personen haben Anspruch auf Schadensersatz, sofern ihnen durch einen Verstoß gegen datenschutzrechtliche Bestimmungen ein materieller oder immaterieller Schaden entsteht (Art. 82 DSGVO).

Zusammenfassung

Biometrische Merkmale nehmen im modernen Datenschutzrecht eine zentrale Rolle ein. Wegen ihres hohen Missbrauchspotentials und ihrer Eignung zur eindeutigen Identifizierung unterliegen sie besonders strengen rechtlichen Voraussetzungen. Die Verarbeitung erfordert sorgfältige Prüfung, transparente Information, wirksamen Schutz und regelmäßige Kontrolle. Ein bewusster Umgang mit diesen Daten dient nicht nur dem Schutz der Privatsphäre, sondern ist zugleich eine rechtliche Notwendigkeit.

Häufig gestellte Fragen

Welche gesetzlichen Grundlagen regeln die Verarbeitung biometrischer Merkmale in Deutschland?

Die rechtlichen Grundlagen für die Verarbeitung biometrischer Merkmale in Deutschland ergeben sich vor allem aus der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG). Nach Art. 9 Abs. 1 DSGVO gelten biometrische Daten als besondere Kategorien personenbezogener Daten und unterliegen daher einem erhöhten Schutz. Eine Verarbeitung ist in der Regel verboten, es sei denn, es greift eine der in Art. 9 Abs. 2 DSGVO normierten Ausnahmen (z. B. ausdrückliche Einwilligung der betroffenen Person oder Erforderlichkeit aus arbeits-, sozial- oder sozialschutzrechtlichen Gründen). Das BDSG konkretisiert und ergänzt die DSGVO für spezifische Kontexte in Deutschland, etwa hinsichtlich des Beschäftigtendatenschutzes (§ 26 BDSG). Darüber hinaus sind branchenspezifische Vorgaben wie § 87 BetrVG für die Einführung und Nutzung technischer Einrichtungen im Betriebsverhältnis zu beachten.

Welche Voraussetzungen müssen für eine rechtmäßige Verarbeitung biometrischer Merkmale vorliegen?

Für eine rechtmäßige Verarbeitung biometrischer Merkmale ist insbesondere das Vorliegen einer sogenannten Rechtsgrundlage erforderlich. Neben einer ausdrücklichen und informierten Einwilligung setzt der Gesetzgeber hohe Anforderungen an die Transparenz der Verarbeitung und an Sicherheitsmaßnahmen, um ein angemessenes Schutzniveau zu gewährleisten. Eine weitere Voraussetzung ist die Verhältnismäßigkeit: Die Verwendung biometrischer Merkmale muss für den verfolgten Zweck zwingend erforderlich sein; weniger eingreifende Methoden müssen vorher ausgeschlossen worden sein. Zusätzlich verlangt die DSGVO die Durchführung einer Datenschutz-Folgenabschätzung (DSFA), um Risiken für Rechte und Freiheiten der Betroffenen zu identifizieren und angemessen zu adressieren.

Welche Informationspflichten bestehen für Verantwortliche bei der Erhebung biometrischer Merkmale?

Verantwortliche müssen die betroffenen Personen gemäß Art. 13 und 14 DSGVO umfassend informieren. Dies umfasst unter anderem die Identität des Verantwortlichen, die Zwecke und die Rechtsgrundlage der Verarbeitung, die Kategorien der verarbeiteten Daten, die Empfänger, die geplante Speicherdauer sowie die Rechte der Betroffenen (z.B. Auskunftsrecht, Recht auf Löschung, Widerspruchsrecht). Speziell bei biometrischen Merkmalen ist besonders transparent darzustellen, warum eine Verarbeitung notwendig ist, welche Risiken bestehen und welche technischen und organisatorischen Maßnahmen zum Schutz der Daten getroffen werden.

Welche technischen und organisatorischen Maßnahmen sind zur Sicherung biometrischer Merkmale erforderlich?

Aufgrund der besonderen Sensibilität biometrischer Daten ist ein hohes Schutzniveau gefordert. Gemäß Art. 32 DSGVO haben Verantwortliche geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Verarbeitung zu gewährleisten. Dazu zählen insbesondere Verschlüsselung und Pseudonymisierung, Zugriffsbeschränkungen, Protokollierung der Zugriffe sowie regelmäßige Überprüfung und Weiterentwicklung der Sicherheitsmaßnahmen. Auch ist zu gewährleisten, dass beim Einsatz externer Dienstleister (z. B. Anbieter von Biometrie-Software) entsprechende vertragliche Verpflichtungen (Auftragsverarbeitung nach Art. 28 DSGVO) bestehen.

Wann ist die Verwendung biometrischer Merkmale im Arbeitsverhältnis zulässig?

Im Arbeitsverhältnis ist die biometrische Erfassung und Verarbeitung besonders sensibel und bedarf daher strenger Voraussetzungen. Gemäß § 26 Abs. 3 BDSG ist die Nutzung biometrischer Merkmale nur zulässig, wenn dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten im Arbeitsrecht erforderlich ist oder der Arbeitnehmer ausdrücklich einwilligt. Die Einwilligung muss freiwillig und informiert erfolgen, was wegen des Abhängigkeitsverhältnisses kritisch zu bewerten ist. Der Betriebsrat ist gemäß § 87 Abs. 1 Nr. 6 BetrVG einzubeziehen, wenn technische Überwachungseinrichtungen eingeführt werden, um die Persönlichkeitsrechte der Beschäftigten zu wahren.

Welche Rechte haben betroffene Personen in Bezug auf ihre biometrischen Merkmale?

Betroffene Personen haben umfassende Rechte nach der DSGVO, darunter das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung (Art. 17 DSGVO, „Recht auf Vergessenwerden“), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) sowie das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Darüber hinaus besteht ein Widerspruchsrecht (Art. 21 DSGVO), sofern die Verarbeitung auf Grundlage eines berechtigten Interesses erfolgt. Im Streitfall ist zudem die Beschwerde bei einer Aufsichtsbehörde möglich.

Welche Folgen drohen bei Verstößen gegen datenschutzrechtliche Vorgaben zur Verarbeitung biometrischer Merkmale?

Verstöße gegen die datenschutzrechtlichen Vorgaben zur Verarbeitung biometrischer Merkmale können erhebliche rechtliche Konsequenzen nach sich ziehen. Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes vor (je nachdem, welcher Betrag höher ist). Daneben können zivilrechtliche Ansprüche auf Schadensersatz nach Art. 82 DSGVO geltend gemacht werden. Nicht zuletzt droht ein Reputationsschaden, der insbesondere bei sensiblen Daten wie biometrischen Merkmalen gravierend ausfallen kann. Zudem kann ein Gericht die Untersagung der weiteren Datenverarbeitung anordnen.