Niederlande: Geldbuße i. h. v. 725.000 € verhängt wg. unrechtmäßiger Verarbeitung von Fingerabdrücken von Beschäftigten
Die Niederländische Datenschutz-Aufsichtsbehörde (Autoriteit Persoonsgegevens – AP) hat gegen ein Unternehmen eine Geldbuße von 725.000 € wegen derunrechtmäßigen Verarbeitung von Fingerabdrücken von BeschäftigtenVerkaufs personenbezogener Daten verhängt. Der Verband hatte 2018 die persönlichen Daten einiger Hunderttausend seiner Mitglieder gegen Bezahlung an zwei Sponsoren weiter. In einer Pressemitteilung der Autoriteit Persoonsgegevens vom 30.04.2020 wird festgestellt:
„Mitarbeiter eines Unternehmens haben ihre Fingerabdrücke für die Anwesenheits- und Zeiterfassung scannen lassen. Nach der Untersuchung kam die Behörde für personenbezogene Daten (AP) zu dem Schluss, dass das Unternehmen keine Fingerabdrücke von Mitarbeitern hätte verarbeiten dürfen… Das Unternehmen wird dafür mit einer Geldstrafe von 725.000 EUR belegt… Biometrische Daten, wie z.B. ein Fingerabdruck, sind besondere personenbezogene Daten. Eine Organisation darf keine besonderen persönlichen Informationen verwenden, es sei denn, das Gesetz sieht eine Ausnahme vor… Wenn diese Daten in die falschen Hände gelangen, können sie möglicherweise zu irreparablen Schäden führen. Zum Beispiel Erpressung oder Identitätsbetrug. Ein Fingerabdruck ist nicht ersetzbar, wie z.B. ein Passwort. Wenn es schief geht, können die Auswirkungen groß sein und eine lebenslange negative Wirkung auf jemanden haben…
Für die Verwendung von Fingerabdrücken könnten in diesem Fall zwei Ausnahmen von dem Verbot möglich sein: wenn die ausdrückliche Zustimmung der betroffenen Personen beantragt wird oder wenn die Verwendung biometrischer Daten zur Authentifizierung oder zu Sicherheitszwecken notwendig ist. Das AP kam zu dem Schluss, dass sich dieses Unternehmen nicht auf eine dieser beiden Ausnahmen für die Erfassung, Speicherung und Verwendung der Fingerabdrücke von Mitarbeitern berufen kann.“
Ergänzend weist die Niederländische Datenschutz-Aufsichtbehörde auf folgendes hin: „Bittet ein Arbeitgeber die Arbeitnehmer um Erlaubnis, ihren Fingerabdruck zu verarbeiten? Im Prinzip ist dies nicht erlaubt. Die Arbeitnehmer sind von ihrem Arbeitgeber abhängig und daher oft nicht in der Lage, dies abzulehnen.“ Übersetzt aus dem Niederländischen mit www.DeepL.com/Translator.
Was sagt die Europ. Datenschutz-Grundverordnung (DSGVO) zum Thema Einwilligung?
Die grundsätzlichen Anforderungen an die Wirksamkeit einer rechtsgültigen Einwilligung sind in Art. 7 DSGVO festgehalten und in Erwägungsgrund 32 weiter spezifiziert. Eine Einwilligung muss freiwillig, für einen konkreten Fall, nach ausreichender Information des Betroffenen und unmissverständlich abgegeben werden. Damit eine Einwilligung freiwillig ist, muss der Betroffenen eine echte Wahl haben. Zusätzlich gilt das sog. Kopplungsverbot. So darf ein Vertragsabschluss nicht von der Einwilligung zur Verarbeitung weiterer personenbezogener Daten abhängig gemacht werden, die für die Durchführung des Geschäftes nicht nötig sind. Zudem muss die Einwilligung an einen oder mehrere bestimmte Zwecke gebunden sein, die dann ausreichend erläutert sind. Soll die Einwilligung die Verarbeitung von besonderen personenbezogenen Daten legitimieren, muss sie sich ausdrücklich auf diese beziehen. Der Betroffene muss in allen Fällen über die Möglichkeit zum Widerruf seiner Einwilligung aufgeklärt werden. Der Widerruf muss dabei genauso leicht möglich sein, wie die Abgabe der Einwilligungserklärung selbst.
Zu beachten ist auch Erwägungsgrund 43 der DSGVO, in dem festgestellt wird, dass „in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde“, die Einwilligung „keine gültige Rechtsgrundlage“ für eine Verarbeitung personenbezogener Daten sein kann.