Unsachgemäß verwendete Passwörter führen immer wieder zu Sicherheitsproblemen: Sie werden vergessen, mehrfach verwendet oder auf Zetteln notiert. Vor diesem Hintergrund erscheint Windows Hello vielen Organisationen als naheliegende Lösung: Statt Passwort genügt ein Blick in die Kamera oder ein Finger auf dem Sensor, alternativ eine PIN. Technisch wirkt das modern, nutzerfreundlich und sicher. Datenschutzrechtlich stellt sich jedoch eine entscheidende Frage, sobald biometrische Merkmale ins Spiel kommen: Dürfen Beschäftigte per Gesicht oder Fingerabdruck authentifiziert werden – und wenn ja, unter welchen Voraussetzungen?
Biometrie und Datenschutz
Bei biometrischen Daten handelt es sich gemäß Art. 4 Nr. 14 DS-GVO um „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen […].“ Hierzu können etwa auch Fingerabdrücke oder Gesichtsmerkmale zählen. Der Gesetzgeber stuft diese gemäß Art. 9 Abs. 1 DS-GVO als sogenannte besondere Kategorien personenbezogener Daten und damit als besonders schutzwürdig ein. Der Grund dafür ist leicht verständlich: Ein Passwort kann geändert werden, ein Fingerabdruck nicht. Gerät ein biometrisches Merkmal in falsche Hände, lässt sich der damit eingetretene Schaden kaum rückgängig machen.
Auch wenn Windows Hello technisch so konzipiert ist, dass biometrische Merkmale nicht im Klartext oder cloudbasiert gespeichert werden, sondern als verschlüsseltes mathematisches Muster lokal auf dem Gerät verbleiben, ändert das nichts an der datenschutzrechtlichen Einordnung. Entscheidend ist lediglich, dass biometrische Daten verarbeitet werden.
Die Nutzung von biometrischen Daten lässt sich ferner nicht einfach damit rechtfertigen, dass sie praktischer ist. Datenschutzrechtlich kommt es vielmehr darauf an, ob sie wirklich erforderlich ist oder ob gleich geeignete, weniger eingriffsintensive Alternativen existieren. Im typischen Arbeitsumfeld ist genau das der Knackpunkt. Für die Anmeldung an einem Endgerät stehen mit Passwort, PIN oder Chipkarte regelmäßig Alternativen zur Verfügung, die ebenfalls sicher und praxistauglich sind. In solchen Konstellationen wird es schwierig zu begründen, warum ausgerechnet die Verwendung biometrischer Daten zwingend notwendig sein soll. An dieser Stelle rückt zwangsläufig die Einwilligung der Beschäftigten in den Fokus.
In die gleiche Kerbe schlägt auch das Urteil des Landesarbeitsgericht Berlin-Brandenburg (LAG Berlin-Brandenburg, Urt. v. 4. Juni 2020 – 10 Sa 2130/19), wonach Beschäftigte nicht verpflichtet werden können, ein biometrisches Verfahren – dort die Zeiterfassung per Fingerabdruck – zu nutzen. Ausschlaggebend war unter anderem, dass weniger eingriffsintensive Alternativen zur Verfügung standen. Das Gericht stellte klar, dass biometrische Daten keinen bequemen Ersatz für andere Verfahren darstellen dürfen, wenn deren Einsatz nicht zwingend erforderlich ist. Diese Wertung lässt sich ohne Weiteres auf Authentifizierungslösungen übertragen.
Einwilligung im Beschäftigtenverhältnis
Die Einwilligung gilt als Ausdruck selbstbestimmter Entscheidung. Im Arbeitsverhältnis ist sie jedoch besonders strittig. Der Grund ist offensichtlich: Zwischen Arbeitgeber und Beschäftigten besteht ein Abhängigkeitsverhältnis. Niemand möchte den Eindruck erwecken, nicht mitzumachen oder sich technischen Neuerungen zu verweigern. Genau deshalb stellt das Datenschutzrecht hohe Anforderungen an die Freiwilligkeit einer Einwilligung im Beschäftigungskontext.
Für Windows Hello mit Biometrie heißt das ganz konkret: Eine Einwilligung ist nur dann tragfähig, wenn Beschäftigte eine echte Wahl haben. Diese Wahl muss sich nicht nur auf dem Papier, sondern im Arbeitsalltag zeigen. Wer Biometrie nicht nutzen möchte, muss problemlos auf eine Alternative ausweichen können – etwa auf eine PIN-Anmeldung. Diese Alternative muss gleichwertig, praktikabel und dauerhaft verfügbar bleiben. Ebenso wichtig ist, dass aus der Ablehnung oder einem späteren Widerruf keinerlei Nachteile entstehen, weder formell noch informell.
Zu einer wirksamen Einwilligung gehören eine verständliche Information darüber, was Windows Hello macht und was nicht, eine klare Aussage zur Freiwilligkeit, ein transparenter Widerrufsprozess und organisatorische Vorkehrungen, die sicherstellen, dass der Widerruf tatsächlich gelebt wird. Wird die Verarbeitung biometrischer Daten hingegen faktisch zur Voraussetzung für den Arbeitsalltag, verliert die Einwilligung ihren freiwilligen Charakter – und damit ihre rechtliche Belastbarkeit.
Schließlich sollte auch die Risikobetrachtung nicht vergessen werden: Biometrische Daten gelten als besonders sensibel, weshalb je nach Umfang und Ausgestaltung der Verarbeitung zu prüfen ist, ob eine Datenschutz-Folgenabschätzung erforderlich ist. Diese ist kein Selbstzweck, sondern ein Instrument, um Risiken systematisch zu identifizieren: Was passiert bei Geräteverlust? Wie werden die betreffenden Informationen gelöscht? Welche Zugriffsmöglichkeiten bestehen für Administratoren? Schon eine kurze, strukturierte Bewertung kann helfen, Schwachstellen frühzeitig zu erkennen und zu adressieren.
Fazit
Windows Hello kann in Organisationen insbesondere als Beitrag zur besseren Nutzerfreundlichkeit verwendet werden. Datenschutzrechtlich tragfähig ist der Einsatz jedoch nur, wenn Beschäftigten dauerhaft auch nicht-biometrische Anmeldeverfahren offenstehen. Die Geräteanmeldung mittels biometrischer Merkmale darf weder zum Standard noch faktisch zum Zwang werden. Sie kann nur dann Bestand haben, wenn sie auf echter Freiwilligkeit beruht, transparent kommuniziert wird und gleichwertige Alternativen tatsächlich zur Verfügung stehen.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
