Lichtbild als biometrisches Datum
Gemäß Art. 9 Abs. 1 DSGVO zählen biometrische Daten zu den besonderen Kategorien personenbezogener Daten und unterliegen einem besonderen Schutz. Für solche Daten gilt ein strenges Verarbeitungsverbot mit Erlaubnisvorbehalt. Das bedeutet, biometrische Daten dürfen grundsätzlich nicht verarbeitet werden, es sei denn, es wird ausnahmsweise ausdrücklich durch das Gesetz erlaubt. Der zentrale Erlaubnistatbestand für Unternehmen ist die Einwilligung des Betroffenen.
Gemäß Art. 4 Nr. 14 DSGVO sind biometrische Daten „mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten“. Damit können auch Lichtbilder von Personen zu den biometrischen Daten zählen mit der Folge, dass diese nur bei einer ausdrücklichen gesetzlichen Erlaubnis, insbesondere der Einwilligung des Betroffenen verarbeitet werden dürfen.
Wann genau ein Lichtbild ein biometrisches Datum darstellt, ist nicht immer eindeutig zu beantworten und hängt von einer Abwägung im Einzelfall ab. Nach dem Erwägungsgrund 51 der DSGVO sollte die Verarbeitung von Lichtbildern nicht grundsätzlich als Verarbeitung besonderer Kategorien von personenbezogenen Daten angesehen werden, da Lichtbilder nur dann von der Definition des Begriffs „biometrische Daten“ erfasst werden, wenn sie mit speziellen technischen Mitteln verarbeitet werden, die die eindeutige Identifizierung oder Authentifizierung einer natürlichen Person ermöglichen. Entscheidend sind daher die technischen Mittel und die Analyseverfahren mit denen die Lichtbilder aufgenommen und verarbeitet werden. Zweifelsfrei sind die Lichtbilder im Personalausweis / Reisepass biometrische Daten, da diese für einen automatisierten Abgleich mit der Person geeignet sind.
Werden Lichtbilder für bestimmte Verarbeitungsprozesse eingesetzt, insbesondere wenn diese mit speziellen Verfahren verarbeitet werden, sollte zwingend der Datenschutzbeauftragte einbezogen werden, um zu prüfen, ob es sich in diesem Fall um ein biometrisches Datum handelt und um zu klären, ob der Verarbeitungsvorgang eventuell anzupassen ist. In diesem Zusammenhang sollte auch geprüft werden, ob ggf. eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO durchzuführen ist. Zudem ist das Verfahren zwingend in das Verarbeitungsverzeichnis gemäß Art. 30 Abs. 1 DSGVO aufzunehmen. Zu empfehlen ist, in diesem zu dokumentieren, auf welcher Grundlage die Einschätzung, ob es sich um ein biometrisches Datum handelt oder nicht, erfolgte. Werden Dienstleister zu der Verarbeitung der Lichtbilder eingesetzt, ist ggf. ein Auftragsverarbeitungsvertrag abzuschließen.