Sicherheitszeichensymbol. Schloss mit Schlüssel. Sicherheitsmetapher

Biometrie und Datenschutz: Wie BDSG und GDPR die Erfassung und Speicherung von Fingerabdrücken und Gesichtserkennung regeln

Warum biometrische Daten besonders schützenswert sind
Biometrische Daten – etwa Fingerabdrücke, Gesichtsgeometrie oder Iris-Scans – gelten laut Artikel 9 DSGVO als „besondere Kategorien personenbezogener Daten“. Ihr Missbrauch kann zu Identitätsdiebstahl führen, den Betroffenen ein Leben lang verfolgen. Deshalb greifen in Deutschland gleich zwei Rechtsrahmen: die EU-weite GDPR (DSGVO) und das nationale BDSG.

Rechtsgrundlage Nummer 1: Einwilligung oder zwingende gesetzliche Pflicht

  • DSGVO Art. 9 Abs. 2: Biometrie darf verarbeitet werden, wenn eine ausdrückliche, informierte Einwilligung vorliegt oder wenn Gesetze (z. B. Passgesetz, Strafprozessordnung) die Verarbeitung zwingend verlangen.
  • BDSG § 26 Abs. 3 erweitert diese Regel für Arbeitsverhältnisse: ein Fingerabdruckscanner zur Zeiterfassung ist zulässig, wenn er „erforderlich“ und das Interesse des Arbeitgebers gegenüber dem Datenschutzinteresse der Beschäftigten überwiegt.

Datenschutzprinzipien, die jede Lösung erfüllen muss

  1. Zweckbindung: Biometrische Templates dürfen nur für den definierten Zweck (z. B. Zugangskontrolle) genutzt werden.
  2. Datenminimierung: Statt Rohbildern werden mathematische Hash-Werte (Templates) gespeichert; Rückrechnung zum Gesichtsbild muss praktisch unmöglich sein.
  3. Speicherbegrenzung: Daten sind zu löschen, sobald der Zweck entfällt (Ende Arbeitsverhältnis, Widerruf).
  4. Integrität & Vertraulichkeit: Verschlüsselung und Zugriffskontrollen sind Pflicht; hier verweisen BDSG und DSGVO auf den Stand der Technik (§ 64 BDSG).

Gesichtserkennung im öffentlichen Raum
Öffentliche Videoüberwachung mit Face-ID ist nur zulässig, wenn ein Gesetz dies vorsieht oder eine überwiegende öffentliche Sicherheit gegeben ist (§ 4 BDSG). Projekte wie das Pilotprojekt am Bahnhof Südkreuz wurden streng begrenzt und unterlagen einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO.

Unternehmensalltag: Zeiterfassung und Zutrittskontrolle
Firmen greifen zu Fingerabdruck­terminals, um Kartenverlust zu verhindern. Laut BDSG § 26 muss der Arbeitgeber dokumentieren, warum keine datensparsamere Methode ausreicht. Betriebsrat und Datenschutzbeauftragter sollten vor Roll-out eine Betriebsvereinbarung mit Widerrufsmöglichkeit verankern.

Pflichten bei Speicherung und Cloud-Lösungen

  • Auftragsverarbeitung (Art. 28 DSGVO): Wird der Scanner samt Cloud-Backend von einem Drittanbieter betrieben, braucht es einen AV-Vertrag.
  • Datentransfer außerhalb der EU erfordert Standardvertragsklauseln oder Angemessenheits­beschluss. US-Server ohne zusätzliche Garantien sind unzulässig.
  • Technische Richtlinien: Das BSI empfiehlt ISO/IEC 19794-5 (Gesicht) und ISO/IEC 19794-2 (Fingerabdruck) für Template-Formate.

Rechte der Betroffenen

Nutzer dürfen Auskunft, Löschung und Widerruf fordern. Unternehmen müssen nach Art. 12 DSGVO innerhalb eines Monats reagieren. Wird ein Widerruf ignoriert, drohen Bußgelder bis 20 Mio. € oder 4 % des weltweiten Jahresumsatzes.

Strafen und Bußgelder: echte Beispiele
2024 verhängte das bayerische LfDI-Amt ein Bußgeld von 300 000 € gegen einen Händler, der Gesichtserkennungs­kameras ohne Hinweisschild einsetzte. Die DSGVO-Bußgeldmatrix zeigt: Fehlen der Einwilligung zählt zu den teuersten Verstößen.

Best Practice für rechtssichere Biometrieprojekte
Vor dem Roll-out eine DSFA erstellen, Privacy by Design einbauen, Templates statt Rohdaten speichern und einen klaren Lösch-workflow definieren. Unternehmen, die diese Punkte einhalten, erfüllen sowohl BDSG als auch GDPR, stärken Kundenvertrauen und minimieren Compliance-Risiko.